Käsikirja on laadittu olettaen, että ohjelmistotuotannossa seurataan ja noudatetaan nykyaikaiselle ohjelmistotuotannolle ominaisia periaatteita:
- Kehitettävän kohteen toiminnallisuutta kehitetään iteratiivisesti ja kehityksen kohde voi muuttua nopeastikin (agile eli ketterä kehittäminen).
- Tuotetiimi toimii suurelta osin autonomisesti ja kantaa yhdessä tuoteomistajan kanssa liiketoimintavastuun myös tietoturvasta sekä joissakin tapauksissa myös tuotannonaikaisista toimenpiteistä (DevOps ja DevSecOps).
- Tuotantoon viennin prosessi on automatisoitu, jos kehitettävänä kohteena on pilvipalvelu. Muissa tapauksissa integroinnin ja tuotantoon viennin automatisoinnille (continuous integration / delivery / deployment) ei saisi olla esteitä, vaikka sitä ei vielä olisikaan toteutettu.
- Mikäli kehitettävänä kohteena on pilvipalvelu, sen infrastruktuuri kuvataan versiohallittuna koodina (infrastructure as code, IaC, tai declarative infrastructure).
Tilanteissa, joissa organisaatio on ottamassa näitä periaatteita käyttöön, se voi ottaa ohjeen käyttöön vaiheittain samalla, kun periaatteet kehittyvät.
Käsikirjassa kuvatut työnkulut on tarkoitettu käytettäväksi organisaation kokonaisketterän kehittämisen viitekehyksessä. Käsikirja soveltuu käytettäväksi myös yksittäisissä projekteissa, joita ei toteuteta kokonaisketterän toimintamallin mukaisesti.
Jos organisaation ohjelmistotuotanto on osin ulkoistettu esimerkiksi siten, että tuoteomistaja työskentelee tilaajan organisaatiossa, mutta itse sovelluskehitystyö tehdään toimittajan organisaatiossa, käsikirjaa voidaan soveltaa niiden roolien osalta, joiden vastuuhenkilöt työskentelevät tilaajan organisaatiossa. Muiden roolien ja niihin liittyvien vastuiden osalta tilaajan tulisi sisällyttää vaatimuksia käsikirjan ohjeiden noudattamisesta toimittajan kanssa laadittaviin sopimuksiin.
Useat käsikirjan tietoturvaperiaatteet on kirjoitettu niistä lähtökohdista, että kehitettävän kohteen arkkitehtuuri voi olla nk. pilvinatiivi ja palvelu- tai mikropalveluorientoitunut, ja että tuotetiimillä voi olla valtaa ja vastuuta käytönaikaisista toimenpiteistä. Käsikirjaa voi kuitenkin soveltaa, vaikka kehitettävä kohde ei olisikaan pilvipalvelu.