Scrivere software sicuro non è cosa solamente cosa buona e giusta, ma anche saggia.
Le best practices di OWASP e la lista CWE sono le benvenute.
Valide alternative free sperimentate sul campo sono state SonarQube più che altro per le web application che permette di agganciare molti progetti o solutions sviluppati nei diversi linguaggi di programmazione.
Per il Mobile l'alternativa free MobSF non è stata male sia per app Android che app iOS (Swift e Objective C). MobSF permette l'analisi statica (prorio sul codice classi metodi) e dinamica (navigazione con le funzionalità).
Altro tool per controllare ciò che passa tra le app e il web è OWASP Zed Attack Proxy