WAF是一种设备、或是服务器软件附件，能够监控和拦截前往和来自应用的流量。它们在许多企业中已经变得十分常见，特别是那些必须遵从支付卡行业数据安全标准（简称PCI DSS）的公司。这些公司要么需要使用WAF，要么需要频繁地审查应用的代码。

　　Krikken说到：“通常我是最后一个给出建议的人——如果你遇到某个问题——使用技术来解决它、或者是在它前面放置一些东西进行过滤，因为从开始就搭建安全的应用是不错的主意，但是你无法对所有的应用都这么做”。

　　Krikken强调对于信息安全团队来说，从内部推动安全的软件开发仍然十分重要，并且要鼓励开发团队尽可能频繁地更新不安全的应用代码。然而，这项极具挑战的、要赢得开发人员“民心”的任务必须通过围绕应用使用额外的安全技术来辅助完成。

　　“越来越多的客户开始问我，是否在应用前面放置Web应用防火墙来修补漏洞比起修补代码更加糟糕？”Krikken表示，对于企业来说需要更多的时间和工作来理解在他们的架构中增加新的应用安全技术的重要性。但是对应用进行防御而不是打补丁的概念尽管有些超前，好像更容易被人们理解和接受。他表示一些企业质疑如此严重地依赖于一个WAF设备、或是类似的安全产品是否明智。PCI DSS认证安全评估员（QSA）是否会容忍这种情况还不知道。

　　Excelon公司的峰会出席人Louis Robinson表示Krikken的方法是对的，特别是对于企业来说要尽量权衡在哪里设计应用的安全功能，是在应用自身内部还是与它并行设计。“在与开发人员一起工作时，你不能把所有事情都依赖于代码，特别是因为性能。”正如任何大的IT策略变化一样，PCI DSS也要考虑。但是对于许多企业来说这不一定是受阻的原因，因为对于整体企业信息安全，许多人质疑PCI DSS的效果。

　　尽管Krikken试图坚定地强调需要向开发人员进行安全“布道”，他恳请安全人员要理解开发人员：即使是那些最有好意的人，永远也不会是安全专家。Krikken表示：“在内部构件安全这种话你已经听过很多次了，这也是我一直努力的。但这是一种错误的表达。开发人员不这么做通常是因为他们认为那意味着他们必须在应用内搭建所有需要的安全功能。我不想他们那样做；我想让他们关注他们擅长的东西。”