Kehitystyötä koskevat yleiset pelisäännöt on laadittu ja ne on hyväksytty kehitystyön johtohenkilöiden toimesta. Sääntöjen toteutumista valvotaan kaikessa organisaatiossa tehtävässä kehityksessä ja ne katselmoidaan vähintään vuosittain.

Turvallisen kehittämisen politiikka voi sisältää mm. seuraavia asioita:

• kehitysympäristön turvallisuusvaatimukset
• käytettyjen ohjelmointikielien turvallisen koodaamisen ohjeet
• turvallisuusvaatimukset ominaisuuksien tai projektien suunnitteluvaiheessa
• turvalliset ohjelmistovarastot
• versionhallinnan turvallisuusvaatimukset
• kehittäjältä vaaditut kyvyt välttää, löytää ja korjata haavoittuvuuksia
• turvallisten koodausstandardien noudattaminen

Turvallisen kehittämisen sääntöjen noudattamista voidaan vaatia myös avainkumppaneilta.

Organisaation olisi luotava prosessi, jolla varmistetaan, että arkaluonteisia tietoja, kuten käyttäjätunnuksia, salasanoja ja API-avaimia, ei tallenneta suoraan ohjelmistokoodiin. Näitä arkaluonteisia tunnistetietoja olisi hallinnoitava ulkoisesti käyttämällä turvallisia menetelmiä, kuten ympäristömuuttujia tai erityistä salaisuuksien hallintapalvelua.