Firmy do svých aplikací často zahrnují knihovny, které jsou k dispozici pod open source licencí, nebo je na zakázku vyvinul externí dodavatel. Podle Veracode je takto externího původu zhruba polovina kódu. Potíž je ovšem v tom, že programování v tomto případě probíhá bez standardů, které firma sama dodržuje v oblasti zabezpečení při vlastním vývoji. Jason Steer, který je ve Veracode odpovědný za vyhledávání zranitelností, zmínil v této souvislosti nedávný případ Twitteru. Použitý kód třetí strany měl povolenou javascriptovou funkci onmouseover takovým způsobem, že uživatelé mohli být přesměrováni na podvodný web, respektive neviděli správně, z jakého webu pochází otevírané okno (tj. zranitelnost cross site scripting, XSS).
Cizí open source kód zahrnovaný do aplikací lze alespoň snadno testovat, uzavřený kód vyvinutý třetí stranou mnohdy neumožňuje ani to (nejde-li o součást smluvních podmínek). Je jasné, že celková bezpečnost odpovídá nejslabšímu místu. Veracode tvrdí, že její zákazníci jsou tímto problémem postihováni stále častěji. Měli by na externích dodavatelích důsledně vyžadovat a kontrolovat, zda vývoj vyhovuje jejich metodikám/metrikám.
Poznámka: Veracode není analytická firma, ale dodavatel bezpečnostních řešení.