3 月 22 日,阿拉丁联合腾讯安全举办了《全域视角下再看小程序安全》直播活动,直播发布《小程序安全建设与发展洞察》,推出了“企业级小程序安全系列专项方案”。
据阿拉丁小程序安全指数显示,有 74.2% 的小程序处于 5000-7000 分的中等水平,8 成小程序同时存在高、中、低风险隐患,如何在业务需要与商业竞争之间求取平衡是当下小程序安全防护的最大痛点。
为了解决这一难题,阿拉丁联合腾讯安全推出了“企业级小程序安全系列专项方案”, 并邀请腾讯安全流量风控资深产品专家王雷雷分享了小程序安全产品能力与实践经验。直播活动受到广大开发者与企业的高度关注,专项方案的技术优势、产品性能、检测方案以及安全指数吸引了众多咨询。(点击阅读原文查看直播回放)
小程序站上移动互联网“C”位,安全宣传重要性提升,专项服务脱颖而出
随着移动互联网进一步发展、生态建设全面展开,小程序步入多元化功能、多场景适配和多平台服务的新阶段,业务复杂度提升、全域营销兴起,更多第三方服务的加入为小程序增添繁荣景象的同时也带来更多风险。
尽管在认知层面小程序安全防护应当完整覆盖开发、上线、运营直至迭代的全周期,然而真实情况常常是企业因为成本、时间、难题攻坚等条件限制降低小程序安全标准,以至于后期隐患显现,爆发各种问题并造成损失。近年来在政策规范与行业引导下,小程序安全意识整体有所提升,但是围绕小程序安全开展的专属活动和行业交流并不多见,与小程序此时此刻的重要位置相比仍有距离。
为此,阿拉丁与腾讯安全联合举办了主题为“全域视角下再看小程序安全”的直播活动,分别从第三方视角、生态视角和产品服务视角剖析小程序安全市场现状,分享小程序安全防护技术和经典案例,同期正式推出“企业级小程序安全系列专项方案”。
8 成小程序存在高风险隐患,在业务需要与商业竞争之间,求取平衡是最大痛点
如何观察与评价小程序安全市场现状?阿拉丁研究院在资料整理中发现了这一业界空白,并基于阿拉丁指数的服务经验推出了安全领域的评价标准——小程序安全指数。安全指数的评测范围包含程序安全、账号安全、信息安全、业务安全和潜在风险 5 个维度共计 11 个细分项目,通过权重得出检测总分,结合检测周期综合测算出阿拉丁安全指数得分。
安全指数以定向邀约的方式征集了 975 个小程序参与此次指数测算。参与测算的 975 个样本平均指数达到 6314 分,中位数为 6250 分,有 74.2% 处于 5000-7000 分的中等水平,满分小程序仅有 1 个;超过 7 成的小程序至少有 3 个风险,接近 80% 的小程序同时存在高、中、低三类风险;反编译能力(小程序代码是否具备反编译能力)和环境安全(小程序使用环境是否存在问题和风险)满分率仅有 1.2% 和 1.4%,是大多数小程序的薄弱环节。
从行业细分数据来看,物流、教育、金融平均指数相对较高,品牌零售、旅游旅行、文娱小程序分数良莠不齐,既有满分标杆,也有低分产品;而在薄弱环节与风险个数方面,不存在明显的行业差别。
综合以上数据,小程序安全在技术能力和防范意识方面已经具备共识基础,影响小程序安全水平的更多是业务必须和商业竞争之间的平衡。简言之,小程序需要在保证产品安全和保持快速发展之间作出阶段最优选择。
专项方案解决小程序“安全标配”,腾讯安全为产业数字化升级保驾护航
小程序安全防护的标配是什么?阿拉丁研究院认为至少应当包含技术层面的基础安全、流量风控和隐私合规三个方面。为了方便小程序开发者和企业品牌一次“配齐”,阿拉丁联合腾讯安全推出了“企业级小程序安全系列专项方案”,该方案立足于小程序安全行业现状,基于腾讯 20 多年风控实战经验沉淀,依托腾讯海量业务构建的智能风控体系,为企业应用安全合规保驾护航。
腾讯安全流量风控资深产品专家王雷雷在直播中分享了小程序安全产品能力与实践经验。腾讯小程序安全能力包含了技术防护、性能提升、营销保障、合规监管、售后服务五个重要场景,帮助企业构建“情报-攻防-管理-规划”四维安全战略,并提供紧贴客户业务需要的最佳实践方案,守护政府及企业的数据、系统、业务安全,为产业数字化升级保驾护航。
目前腾讯安全已累计服务 18 大行业、超万家政企客户,小程序领域业务逐年增长。以某乳液品牌为例,2022 年世界杯期间该品牌小程序推出活动,活动刚上线就面临系统崩溃、黑产攻击等问题。腾讯安全针对流量特征、攻击路径进行分析,提出业务风控、安全加固,力排众议,坚持立体化防护方案,梯次对业务流量进行限流、优化和过滤,为活动保驾护航,保障营销效果。
面向复杂业务,腾讯安全也提供了全面的安全解决方案。以某综合金融服务集团为例,该集团集金融保险、银行、投资等金融业务为一体的综合金融服务集团,旗下有几百款小程序,防护工作重要且复杂。腾讯安全通过私有化防护平台方式帮助其实现 200 多款小程序安全防护和多层级权限管控,支持 20 多家分公司、上百名员工共同协作,有效解决漏洞攻击、代码逆向、品牌仿冒等全场景安全问题。
除了完善的解决方案与专业服务,小程序安全防护的“标配”也离不开市场洞察和与时俱进。据阿拉丁研究院了解,部分平台推出了小程序评级服务,但基于第三方立场的洞察非常有限。此番阿拉丁与腾讯安全合作也希望能够以产品专项方案和小程序安全指数为基础,打造一个市场观察与行业交流窗口,助力小程序安全意识普及,让更多开发者和经营者及时获取信息,提高安全防护能力。
技术优势、经济型方案、一检多用,小程序专项方案助力企业经营增效
“腾讯安全的产品有什么优势?”
“小程序安全检测多久做一次合适?有没有经济一些的方案?”
“腾讯安全检测过的小程序迁移到其他平台也合规吗?”
……
直播间的 Q&A 环节,开发者和企业品牌提出了非常实际的问题,雷雷老师也逐一做了解答。
提到腾讯产品的独特优势,首先是更丰富、全面的风险识别能力,比如除手机号之外,可以通过 OpenID 进行识别;其次是产品独家适配微信小程序框架,基础安全、扫描操作兼容性和稳定性更好;第三是专家一对一服务,以及内部交流分享的经验与方法论。
小程序安全检测的频率方面,如果成本有限可以考虑上半年、下半年各做一次渗透测试,渗透性测试检测项目较多,也有人工服务作为协助;期间的小型活动、小版本迭代可以考虑用自动化扫描方式覆盖。
在检测效果方面,腾讯安全提供的检测服务本身就是基于小程序的,据使用过深度检测产品的客户反馈,在其他平台上还没有出现问题。
立足当下,展望未来
小程序安全仍然有很长的路要走
受到国际形势的影响,全球对网络、信息和数据安全的关注和要求已经达到前所未有的高度,小程序站在移动互联网“C”位,肩负着全域经营枢纽重任,安全防护势必从严从重;伴随着小程序的延展能力,在创新技术、工具组件和复杂生态的环境中,安全隐患可能更为隐蔽,风险识别难上加难;小程序安全也离不开市场教育和行业共建,一个“生态有标准、行业有规范、发展有依据、对比有进步”的自驱自律闭环需要参与者共同努力。
互联网技术创新不止,小程序安全防护不息。阿拉丁愿与广大从业者共同努力,营造一个安全、健康、繁荣的小程序新时代。
