Il s’agit notamment de garantir une gestion sécurisée et appropriée des activités malveillantes, aucune attaque basée sur le temps, aucune communication sortante vers des destinations non approuvées et l’absence de code non autorisé ou contrôlé par des attaquants. Cette catégorie inclut les bibliothèques d’audit ou tierces de la base de code de l’application.