Metodología de OWASP para la Medición del Riesgo
Descubrir vulnerabilidades es importante, pero ser capaz de estimar el riesgo asociado para la empresa es igualmente importante. Al principio del ciclo de vida, se puede identificar problemas de seguridad en la arquitectura o diseño, utilizando modelos de amenazas. Posteriormente se pueden encontrar problemas de seguridad utilizando revisión de código o pruebas de penetración. O los problemas podrían no ser descubiertos hasta la aplicación esté en producción, y sea comprometida.