डेवलपर से यह उम्मीद की जाती है कि वे अपने ऐप्लिकेशन को OWASP ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (ASVS) v4.0 पर मैप किए गए CWE के एक खास सेट के लिए स्कैन करें. लागू होने वाले सीडब्ल्यूई की संख्या, आवेदन के टाइप के हिसाब से अलग-अलग होती है. फ़्लूड अटैक और ZAP के लिए दी गई अलग-अलग कॉन्फ़िगरेशन फ़ाइलों में, सभी काम के सीडब्ल्यूई को शामिल किया गया है. अगर इन ओपन-सोर्स टूल का इस्तेमाल स्कैन करने के लिए किया जाता है, तो डेवलपर को सिर्फ़ अपने ऐप्लिकेशन के लिए बनाई गई कॉन्फ़िगरेशन फ़ाइल चुननी होगी. हालांकि, अगर किसी दूसरे स्कैनिंग टूल का इस्तेमाल किया जाता है, तो डेवलपर को इस बात का सबूत देना होगा कि काम के सभी सीडब्ल्यूई शामिल किए गए हैं. इस कॉन्फ़िगरेशन फ़ाइल या नीति को स्कैनिंग टूल इस्तेमाल कर सकता है. कुल मिलाकर, डेवलपर को नीचे दी गई जानकारी देनी होगी:

अगर सुझाए गए ओपन सोर्स स्कैनिंग टूल का इस्तेमाल किया जाता है, तो डेवलपर को

• फ़्लूइड अटैक या ZAP स्कैन के नतीजों को CSV या एक्सएमएल फ़ॉर्मैट में स्कैन करें.