问小型企业如何处理网络应用程序安全？

EN

简短回答:不。

事实上，令人震惊的是，大多数公司并不关心其产品的安全地位，也不知道它们的产品是否安全。通常，这些公司的QA团队都是经过测试的，也许测试用例中会包含一些XSS、SQLi等的攻击向量。但是我很肯定他们不会有一个专门的程序来进行安全测试，无论是威胁建模/代码分析/笔式测试。我怎么知道这个？通过在大规模的职业生涯活动中与人们(包括技术人员和非技术人员)交谈，我想，你可以以70%的信心接受这个答案。

我的经验是，这取决于行业、法规和业务关系(不一定是公司规模)。

示例：

• <10个人公司，构建一个检索信用记录的web应用程序，业务伙伴要求他们拥有一个完整的webapp戊that。
• <50个人公司，建立一个允许客户查看销售观点信息的门户网站，他们受到监管要求(PCI)和合作伙伴的要求，要求他们的门户网站被访问。
• <5个人创业公司试图将他们的网络应用卖给更大的企业，他们被要求在尽职调查期间对他们的应用程序进行安全性评估(代码审核+五级)。
• 根据我的经验，几乎所有构建银行/金融网络应用程序的企业都必须做一些事情来显示安全性得到评估，而且通常是出于监管原因(代码审计+ pentest)。

许多较小的企业选择接受代码审核，因为它通常更便宜(如果它们使用其他商业组件，它们可能无法访问所有的源代码)。

我和当地的小企业、财富100强和富时100强的公司一起工作，而我发现的一件事是，所有规模的公司都在努力做一些关于安全的事情。当然，一家小公司能够在多大程度上实施一些安全控制是受到预算限制的，但与大公司比小公司做得更好当然没有100%的相关性。

通常，小型金融公司(150名员工说)在这方面是最好的--实现完整的信息生命周期管理功能，包括安全的代码开发，直至生命结束时的破坏。对于OWASP的前十名来说，没有什么是如此规模的公司所无法企及的。归根结底，动机是什么：

• 如果他们受到监管，他们就会采取必要的措施通过审核。
• 如果他们存储个人信息，他们将试图确保他们满足数据保护要求，无论他们在哪里。
• 如果他们拥有有价值的知识产权，他们就会设置控制措施来保护它。