企业为何仍需考虑自行开发商业应用程序？

重要摘要

随著大多数企业转向使用即时可用的 SaaS 服务，企业在自行开发业务应用程序上的投入逐渐减少。根据资料，到 2025 年，SaaS 将占据企业使用的软体的 85%。虽然使用核心 SaaS 平台可以提高工作效率，但引入第三方应用可能会带来安全风险。因此，企业需要采取有效的措施来保护他们的 SaaS平台免受供应链攻击。

随著市面上几乎所有业务功能都可以使用现成的 SaaS 服务，自行开发专业应用程序的做法已变得越来越少。根据 的报告，预测到 2025 年，SaaS 将占企业使用软体的 85%。而

的研究显示，目前企业平均使用 805 个 SaaS 应用程序。

许多企业围绕如 、Slack、Jira、Microsoft 365、GitHub 和 Google Workspace 等核心 SaaS应用建构了大量业务流程。这些应用的扩展性使得它们成为了工作中的重要工具，许多员工可以整天在单一的 SaaS 平台上工作。SaaS供应商通常会简化功能的扩展，并鼓励用户轻松整合第三方扩展，以达到更高的使用效率。一项来自 的研究发现，平均而言，每个企业拥有917个 SaaS 与 SaaS 的第三方集成，这一数量是CISO所估计的4-5倍。

以 Salesforce 为例，企业通过 Salesforce 建立与客户的良好关系。但当本地或第三方应用像乐高积木一样集成时，其功能则会更加强大。 提供数百甚至数千种与 Salesforce 直接集成的软体产品，这些扩展涵盖了财务、人力资源和市场推广等领域。通过增加这些第三方集成，原有的 CRM系统可以变得更加有用，并且绝大多数用户无需任何批准即可上线新的第三方扩展。

您可以将 Salesforce 视为只是核心的 SaaS 平台，其扩展生态系统同样适用于 Microsoft 365、GitHub、Slack等。然而，这些有用的扩展正是使您的 SaaS 应用变得容易受到攻击的原因。

第三方应用的安全风险

这些核心应用—作为所有附加功能的枢纽—本身是相对安全的。Salesforce通过大量投入安全措施来维护其地位，Microsoft、Google、GitHub 等也是如此。

安全风险主要出现在第三方应用的安全性不足，或与核心 SaaS 应用交互的 API 或自动化工作流程设计不当。这