http://www.atmarkit.co.jp/fbiz/cbuild/serial/securerfp/01/01.html
軽視されるのはセキュリティだけかな？

単純に目に見えない部分はコストダウンの対象になるだけだと思うが．マンションにおける鉄筋とかと同じ理由．

正直に言ってセキュリティを考えるならJavaを使うのは避けて通れないだろう．でも未だに上記のような質問もでるし，オブジェクト指向のイロハも知らない人がJavaプログラマーを名乗れる現状では実に心許ない．

一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する（RFP）段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働かないからである。

うーん．あんまり関係ないと思う．大抵の脆弱性は未熟な技術力から生まれる．それは提案書や何かでは測れない．結局は技術力のある信用できる相手に依頼する他ないのだが，さて今やそういう技術者など何人生き残っている事やら．ほとんど絶滅寸前の天然記念物．

もちろん，個人情報を保持するマシンを別に用意するだとか，長期的に保持するマシンはネットから切り離しておくだとか，名前や詳細な住所などの個人を特定できる情報を必要以上に保存しないだとか，そういう非技術的な対策もある．だがこれは依頼されたSI側ではなく，依頼主の側が主役になって行うべきもの．依頼された側にできることはほとんどない．