web安全服务 没有保护怎么行呢？

我认识的很多上过大学的人都没有安全的编程训练，而且只有很少的人能在研究生院获得这些课程(这并不是标准)。即使是这样，这些课程也只是覆盖了缓冲区溢出，并没有涵盖一些流行的漏洞类型，比如sql注入或xss。

脆弱的代码

对于初学者来说，大多数程序员没有硕士学位，也没有获得安全开发培训的机会，而且需要在安全实践方面进行指导，这些实践可能需要几个月甚至几年的时间才能自行开发。问题是，在他们拥有这些安全技能之前，他们可能正在编写脆弱的代码。

安全教育

我完全赞成教育，但如上所述，这需要时间和金钱，直到这些人受过适当的训练，他们才能打开你的申请风险。诚然，它们打开了您的应用程序，以稳定和性能问题，但让我们暂时坚持安全性我已经参与了寻找有安全知识/培训的人，我可以告诉你，找到适合这个群体的人是非常困难的，当你试图找到5 +人的时候是不可能的。从我的经验来看，经理们寻找这个技能的人，发现自己找不到足够的人头来填充他们的员工总数，或者是那些有合适技能的人，雇佣的人是ok的。

漏洞产生

对于每个应用程序类型，逻辑漏洞都是自定义的，但是xss、sql注入、溢出和格式字符串漏洞等漏洞都是由相同的方式造成的。这意味着编写脆弱代码的开发人员正在执行相同的错误，直到他们学会了不做这些错误。假设应用程序X需要显示一些可能来自用户可修改的数据。开发人员可能不知道跨站脚本或如何正确地过滤它。我们假设不执行xss过滤(通常情况是这样)，并将脆弱的代码推入生产。