Come evidente dalle risposte del sondaggio, ci sono diverse consuetudini riguardo a quando, all’interno del processo, vengono fatti i test di sicurezza. Il dubbio nasce dunque spontaneo: qual è la prassi più intelligente? Esiste?

Si può dire che, in un mondo ideale, sarebbe opportuno gestire tutto capillarmente, ovvero in ogni stadio del processo fin dalla progettazione del software. Tuttavia questa modalità risulta abbastanza impraticabile, poiché il processo verrebbe rallentato in maniera eccessiva. Una prassi molto seguita, che sembra dare ottimi risultati, è l’esecuzione di test durante la fase di Continuous Integration e Continuous Delivery. Testare la sicurezza di una software build pronta per la produzione, infatti, ben si integra con il principio DevOps, della necessità dei team di sviluppo di ricevere un feedback, che li avvantaggi nella risoluzione di eventuali problematiche. Durante la CI e CD è possibile ricevere le segnalazioni relative a problemi di sicurezza che vengono evidenziate dai tool automatizzati, utilizzati proprio in questa fase.In questo modo viene ridotta la possibile “frizione” generata dall’introduzione di un nuovo tassello nel processo, guadagnando di fatto in rapidità e sicurezza. Uno degli ostacoli principali di questa prassi, oltre alla necessità di formare il team di sviluppo in maniera opportuna, è la natura stessa di molti tool o framework di security testing, che non sono ben integrabili per essere sfruttati nella fase di CI e CD. Oggi però alcuni framework, come OWASP ZAP, stanno iniziando ad esporre API per andare proprio in questa direzione.