Eu entendo que saber quais as principais vulnerabilidades que um sistema pode vir a ter é o primeiro passo para tornar o sistema seguro.
Por exemplo pensando em uma aplicação web o top 10 da OWASP pode ser um bom ponto inicio para entender quais são as principais vulnerabilidades.
Além disso, pensando no código em si, ferramentas como o SonarQube e o OwaspZap varrem seu código e aplicação buscando por possíveis vulnerabilidades, o que pode ajudar muito a tratar elas.
Outro ponto bobo mas que vejo muito por ai é em relação aos segredos do código, sempre evite colocar eles diretamente no código, tente trabalhar com variáveis de ambiente e dependendo até com um key vault
Claro que além do cuidado com o código em si, temos que garantir a segurança da infraestrutura da aplicação geralmente o uso de um WAF já ajuda.
Para aplicações web acho que essas coisas são um bom ponto de inicio para um estudo mais aprofundado.