Na konferenci Black Hat Europe v Amsterdamu byla publikována studie, která zjišťovala kvalitu softwaru v různých sektorech ekonomiky USA. Celkově 80 % softwaru nevyhovělo stanoveným bezpečnostním kritériím. Při hodnocení webů podle OWASP bylo jako bezpečných vyhodnoceno 28 % webů v komerční sféře, 24 % ve finančnictví a jen 16 % ve státní správě. U off-line aplikací to bylo (podle metodiky SANS Institute) 34 %, resp. 28 a 18 %.
Například 40 % státních webů bylo zranitelných pomocí SQL injection, cross-site scripting pak ohrožuje dokonce celých 75 % webů ve státní sféře. V soukromém sektoru jsou tato čísla významně nižší. Podle Alana Pallera, ředitele výzkumu v SANS Institute, je tento stav způsoben tím, jak se přistupuje k vývojářům píšícím špatný kód. Zatímco v soukromé sféře si takto pracující vývojář podkopává svoji kariéru (protože zvyšuje náklady na software), ve sféře státní více chyb znamená více práce při jejich odstraňování a tedy i více peněz, které stát ochotně platí.