WAF与源代码扫描

　　WAF不能修复应用程序只能进行实时保护的特点，过去一直备受指责。有些厂商甚至避免使用“WAF”术语形容他们的产品，而是代之以“应用层意识”或“应用层智能”。不过，现在人们已经越来越普遍地认为，通过正确的实施，WAF能够成为多层安全模型中的重要组成部分，因为当人们修补应用程序漏洞的时候WAF可以提供保护。

　　正如WhiteHat Security公司的创始人Jeremiah Grossman在博客中坚持的那样，应用程序中攻击和漏洞太多，根本来不及修复代码本身。他主张，通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能为减轻当前状况并为过后再修复问题提供选择。

　　Gartner公司则建议客户考虑采用技术手段消除应用程序漏洞。在花钱购买设备之前，用户首先应该考虑一下，是否通过更强大的系统开发生命周期和使用源代码扫描器等工具来消除漏洞。WAF对于那些不容易改变的应用程序是非常有用的。

　　虽然一小部分风险承受力低的公司需要采用上述两种方法进行安全防护，但是对于大多数公司而言，采用其中任意一种方法就足够了。