2006年度のウェブサイトに関する脆弱性関連情報の届出数は、315件に上っています(IPA JPCERT)　。米国ではセキュリティ脆弱性の70％以上がネットワークレイヤーではなくアプリケーションレイヤーに存在するという報告もされています。

• ネットワークやOS、汎用ソフトウェアなどの防御策が確立されたエリアから、対策の弱いアプリケーションエリアに攻撃対象が広がっています
• 犯罪目的の攻撃者が増加しただけでなく、攻撃方法やツールが共有され、誰もが攻撃者になることができます
• 攻撃も巧妙化しており、気づかないうちに被害にあっている事も少なくありません

• ユーザー側と開発側の間にセキュリティに対する明確な取り決めがなく、検収条件も基準が存在しない
• 納期直前にブラックボックステストを行っても修正時間がない
• ブラックボックステストで検査できないエリアがある
• 開発者個々のスキルに依存してしまう
• 常にセキュリティ動向を理解しながら開発することは難しい
• 納期優先で増大・複雑化するソースコードを1行1行調べる時間もコストもない