软件开发具有一定的局限性，要达到更好的结果并提高有效性就首先需要新的技术来克服漏洞检测工具的局限性。但是要克服这些局限性并不容易，因为它需要将传统方式改为颠覆性的方法。关键在于释放一些约束并将不同的方法结合起来以克服单个方法的局限性。

　　Acunetix AcuSensor就是一个商业技术的例子，它将黑盒扫描和测试执行反馈结合起来。反馈来自于植入到目标应用程序代码中的传感器。Acunetix声称这种技术能够发现更多的漏洞并能够精确表明漏洞在代码中的位置，而且误报也会更少。

　　一项最近提出的技术试图以更小的侵入性实现类似的效果，它联合使用攻击签名和接口监控来克服渗透测试对注入攻击漏洞测试的局限性。这是一种黑盒测试技术，因为它只会监控应用程序和漏洞相关资源的接口，例如数据库接口。

　　Amnesia工具组合了静态分析和运行时监控来检测SQL注入攻击。它对Web应用的源码进行静态分析，构建一个由应用生成的合法查询模型。在运行时，它监控动态生成的查询，检查是否与静态生成的模型相符。这个工具认为违反模型的查询为攻击并阻止它访问数据库。

　　为了应对Web应用安全的新威胁，开发流程必须也要有所发展。例如，微软安全开发生命周期（Microsoft Security Development Lifecycle）完善了公司的开发流程并特别针对安全问题的解决，例如明确了开发团队的安全培训。按照微软的说法，这个流程的采用减少了软件中的安全缺陷。尽管这只是一个例子，但是它表明在这个行业中，对软件开发执行安全流程是很重要的事情。

　　在整个软件产品的开发和部署生命周期中，开发人员必须要考虑安全性。他们必须要使用安全编码的最佳实践、执行足够的安全测试并使用安全检测系统在运行时保护应用程序。在这个任务中，开发人员需要得到一些帮助来获取需要的技术和能够提高生产率的工具。

　　研究人员应该提出创新的工具，能够在开发过程中方便地使用并满足部署时有效性和生产效率的要求。这个演变的中心是安全测试工具，对于检验和确认应用程序以检查安全漏洞来讲，它们是至关重要的。不过，必须要探索新的假设。一个可以预见的可能性就是开发编译器，使其不仅能强制使用最佳编码实现，还能自动化修改存在的安全漏洞。