http://techtarget.itmedia.co.jp/tt/news/0812/22/news02.html
確かにカットオーバー前のチェックでは大変過ぎる。各開発工程ごとに何をするべきか？が今一明確になってないのが問題なのかも。
コーディングレベルでやることと言うのは脆弱性毎に分断された形ではあるけど、系統だったものはないしなぁ。
他の工程はそういったものすらない。一応資料として作ったことはあるけどねぇ
http://www.geocities.jp/ikepy0n/webappsecandSDL.pdf
これはあくまで理想論なので、実際に使うには無利ということもあるから落とし込みが必要だし･･･
もうちょっとこの当たり考えてみるかなぁ？