构建应用程序时，开发团队可以轻松利用一百个甚至更多的开源代码库，框架，工具，以及网上复制下来的代码片段。研究表明，很少有组织已经实施有关开源软件的安全策略。这种缺乏控制和维护的状态会给企业构成重大威胁。

　　在这段视频中，Cobweb Applications的总经理Michael Cobb讨论了使用开源软件的风险，以及IT安全部门和开发团队该如何合作起来以确保安全开发。

　　Cobb说：“尽管开源软件存在Heartbleed漏洞和关键代码维护问题，但是其仍旧被很多人视为提供可靠安全代码最好的办法。”

　　根据Cobb所说的，如果一个开源项目运行稳定、资金充足，那么代码审查结果就是首屈一指的。他还指出，Linux操作系统每小时提交7次代码更新。有180家企业每年向非盈利组织Linux Foundation提供超过五十万美元作为资金，其中包含甲骨文、IBM、惠普和三星。

　　Cobb提醒道：“许多对网络安全至关重要的开源项目远远没有考虑到资金和开发人员投入这个层面。”管理者应该为开源代码使用制定明确的参数，包括商业案例、技术支持交流区和文档的质量、以及证书和代码质量。

　　Cobb在Building Security In Maturity Model Study中提出一个发现：拥有成熟软件安全操作的企业往往有一个董事会任命的负责安全工作的高管。成立一个用来管理开发项目的软件安全组是另一个很好的实践方法。通过这种方法，软件的安全性被视为企业的一个组成部分、组织管理流程中的一个必要费用。