Понятно, что безопасность — это целый комплекс и много слоёв, но кажется, что в реальности многие просто ставят галочку на HTTPS и пару базовых проверок, а дальше ждут, что всё само как-то прокатит. Без свежих знаний и постоянной работы с уязвимостями надежной защиты просто не будет, но стартапы часто в пролёте именно из-за этого. Не считаю, что WAF — панацея, в коде надо править.