Но ведь это не комплексная защита. Для того, чтобы обеспечивать полный комплекс веб-приложения должны разрабатываться с учётом как минимум рекомендаций OWASP по разработке безопасного кода.
В идеале да, SSDLC forever и харденинг инфры+ОС+приклада. Плюс MFA на критичных ресурсах, непрерывный мониторинг и реагирование (SOC)... не говоря уже о процессах и культуре ИБ в компании. Но это уже темы для отдельных статей.
Комплексная защита веб-приложений: обзор взаимодействия разных типов ИБ-решений