2022年6月，中国中小企业协会发布了国内首份《中小微企业数字安全报告（2022年）》，报告显示：我国有超过95.3%的中小微企业面临非常严峻的数字安全威胁。

近一年中，针对我国中小微企业最具破坏性的数字攻击威胁是：恶意软件入侵（68%）、勒索攻击（65.3%）、系统漏洞（64%）和网络钓鱼（42.7%）。此外，黑客组织正在把攻击目标从大企业转向防御能力更弱的中小微企业，这成为一个新的趋势。

中小微企业软件安全事件的频发，除了网络违法分子攻击手段和病毒进化速度太快，防不胜防之外；更多的，是企业自身的软件安全意识不足，安全措施不到位导致的。在产品研发过程中很多再普通不过的行为、环节，很可能就是安全问题产生的源头之一。

1. 开源组件：被忽视的“风险”

如今，使用开源组件或供应商第三方组件，已逐渐成为趋势。虽然开源组件对于敏捷开发起到很大的作用，但也会给软件安全性带来巨大的挑战。第三方库的泛用，加剧了软件安全风险，敏捷开发以及安全之间的矛盾正与日俱增。

根据Sonatype 发布的《2020 State of the Software Supply Chain》报告显示：如今应用程序中使用的 90% 的组件都是开源的，其中 11% 的开源组件中存在已知的安全漏洞。

在这样的市场环境中，随着开源组件的泛用，软件的安全风险面也在扩展。一旦引入存在潜在或已知安全漏洞的开源组件，安全风险将会是指数级的上升。

2. 伪造组件：一个披着羊皮的狼

伪造的恶意组件，一个披着合法厂商的外衣的“危险分子”。攻击者可以通过这层正规厂商的”外衣“，绕过安全检查，让信任该厂商的机构在“无感知”的情况下，陷入被攻击的风险。

正如 基础网络管理软件供应商SolarWinds Orion 2020年遭遇的攻击事件：攻击者在入侵SolarWinds后，将其官网提供的Orion软件安装包替换成植入后门的版本，篡改组件，获取正规厂商的证书并对自身进行签名，绕过官网对软件的安全检查，实现软件供应链攻击。

3. 开发人员：“人”才是最大的不确定性

1）86%的开发人员未将软件安全视为首要考虑事项

Secure Code Warrior 调查研究发现：尽管开发人员都认可软件开发安全的重要性，但仍有86%的开发人员在实际开发工作中没有把软件安全视为首要考虑事项。

随着互联网的发展，软件开发者面临越来越快节奏的市场环境，用户对于软件的功能性需求逐日剧增，软件市场竞争也越来越激烈。

因此，对于开发团队来说，不断满足用户对于软件实用性、功能性需求，提高软件的功能竞争力，优先级更高、时间更紧迫。落到软件测试上，开发团队也更加注重功能性测试，以提升用户直观体验为优先。

2）开发人员安全开发能力不足

由于没有经过专业的内部培训，大多数开发人员在实际工作中缺乏安全编码和安全防护的能力，导致传统开发在发生安全问题时，甚至不知道他们的代码易受攻击的原因。

看到如此多的风险环节，你还敢忽视软件安全吗？

每一次事故的发生都是由多个 “小毛病”、“小隐患”的累积产生的。软件安全，一定要防患于未然！

那么，我们该如何降低软件“带病”运行的几率，降低被网络攻击的风险呢？

推荐使用网安云“软件安全在线检测服务”，提供覆盖源代码、应用程序、运行环境等多维度的软件安全检测服务，自动化检测与金牌专家团队分析“双效合一”，帮助客户快速、精准定位软件脆弱点并提供专业修复建议，助力提升业务安全性和稳定性。

01 多维检测，灵活定制

提供覆盖代码、应用、环境等层面的安全检测服务，满足多样化检测需求。客户可根据实际需求灵活选择单项或多项检测。

02 海量数据，专业可靠

拥有数亿级别的组件知识库、60万权威漏洞数据（例如CNNVD、CNVD、CVE等)，具备深度的安全检测能力，深入探测软件 “疑难杂症” 的 “病因”，以便客户对症下药。

03 专家指导，安全闭环

金牌安全专家团队坐镇，辅助进行漏洞验证，并提供整改后免费复测，帮助客户实现安全闭环。

04 即买即用，高效便捷

无需本地化部署、不占用IT资源、无需投入专职运维人员，轻量化操作，即买即用。

05 收费灵活，性价比高

提供灵活的计费模式，可按需选择。客户只需支付较少的费用，即可获得优质的服务，性价比高。

软件安全在线检测服务，点击此处参与免费试用。