Le développement logiciel a radicalement changé. Les cycles de release se sont raccourcis de 6 mois à quelques jours, voire à plusieurs fois par jour avec les pratiques CI/CD modernes. Dans ce contexte, une approche de sécurité 'waterfall' — où la sécurité est vérifiée une fois à la fin — ne fonctionne plus.
Par ailleurs, les vulnérabilités applicatives représentent plus de 60 % des vecteurs d'attaque documentés. Et le coût d'une vulnérabilité corrigée en phase de développement est 6 fois inférieur à celui d'une correction en production, et 30 fois inférieur à celui d'une correction après incident (IBM).