Applicatie code beveiligen zonder ontwikkelaars?

Is het niet een bekend feit dat ontwikkelaars niks geven om applicatie beveiliging, laat staan dat het schrijven van veilige applicatie code aandacht heeft bij de ontwikkelaars. Is het dan niet fantastisch dat er tooling is die applicatie code op bekende kwetsbaarheden scant! Maar hoe werkt het dan en hoe werkt het nou goed?