我的经验是这取决于行业、法规和业务关系（不一定是公司规模）。

例子：

• <10 人的公司，构建一个检索信用记录的网络应用程序，业务合作伙伴要求他们进行完整的网络应用程序测试

• 50 人以下的公司，建立一个允许客户查看销售点信息的门户网站，他们符合监管要求 (PCI) 和合作伙伴要求对其门户进行渗透测试

• <5 人的初创公司试图将他们的网络应用程序出售给更大的企业，他们需要在尽职调查期间对他们的应用程序进行安全评估（代码审计 + 渗透测试）
• 根据我的经验，几乎所有构建银行/金融网络应用程序的企业都必须做一些事情来证明安全性已经过评估，并且通常是出于监管原因（代码审计 + 渗透测试）

许多小型企业选择渗透测试而不是代码审计，因为它通常更便宜（如果他们使用其他商业组件，他们可能无法访问所有源代码）。

简短的回答：不。

得知大多数公司不关心其产品的安全地位或对此一无所知，这确实令人震惊。通常，这些公司的 QA 团队会执行测试，也许测试用例会包括一些针对 XSS、SQLi 等的攻击向量。但我很确定他们不会有专门的安全测试流程来进行威胁建模/代码分析/渗透测试。我怎么知道这个？通过在大规模职业活动期间与人（技术和非技术）交谈，我想，你可以以大约 70% 的信心接受这个答案。

我与从小型本地企业到财富 100 强和 FTSE 100 公司的所有公司合作，我发现的一件事是各种规模的公司都在尝试做一些关于安全的事情。当然，小公司可以实施某些安全控制的程度受到预算的限制，但大公司比小公司做得更好，这肯定不是 100% 的相关性。

通常小型金融公司（据说有 150 名员工）在这方面做得最好——实施完整的信息生命周期管理功能，包括从安全代码开发到生命周期结束时的安全销毁。对于 OWASP 的前十名，没有什么是这种规模的公司无法企及的。归根结底，动机是什么：

• 如果他们受到监管，他们将做通过审计所需的事情
• 如果他们存储个人信息，他们将尝试确保无论身在何处都符合数据保护要求
• 如果他们拥有有价值的知识产权，他们将实施控制以保护它

我认为对于许多小型企业来说，希望它不会发生在你身上比在安全上花费更多比在创建网站上花费更多更容易。

鉴于 1) 黑客攻击 SMB 的便利性和 2) 相对较低的风险，人们会认为在风险回报的基础上，这些将是黑客的主要目标。