優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利

不提前做好安全 開(kāi)發(fā)什么小程序應用?

11月3日,北京金融科技產(chǎn)業(yè)聯(lián)盟、移動(dòng)支付網(wǎng)聯(lián)合主辦的2020第五屆中國金融科技安全大會(huì )在深圳舉辦。來(lái)自相關(guān)金融機構、監管部門(mén)和安全企業(yè)的數百位行業(yè)領(lǐng)袖,圍繞金融“無(wú)接觸”時(shí)代的安全監管、行業(yè)痛點(diǎn)、“抗疫”經(jīng)驗和科技應用趨勢等問(wèn)題展開(kāi)了深入探討,旨在聚合產(chǎn)業(yè)鏈各方量,探索金融安全發(fā)展之路。
后疫情時(shí)代,在新冠戰“疫”中扮演了“核心武器”的小程序,因其在金融科技領(lǐng)域應用范圍的爆發(fā)式擴展,其安全問(wèn)題成為本屆大會(huì )的重要關(guān)注點(diǎn)之一。
小程序成“無(wú)接觸金融”擴延“加速器”,安全性是基礎考量
移動(dòng)支付、數字貨幣、云計算、5G等技術(shù)日趨場(chǎng)景化的普及應用,使得銀行、保險、證券等金融機構加快了向“無(wú)接觸生產(chǎn)及服務(wù)”邁進(jìn)的迭代步伐。突如其來(lái)的新冠疫情和持續鋪展的新基建版圖,更是為數字化、智能化的“無(wú)接觸金融”造就了加速擴延的新契機。
在疫情期間,各類(lèi)金融小程序因低開(kāi)發(fā)門(mén)檻、強用戶(hù)體驗和快速上線(xiàn)并迭代的特性,而成為金融行業(yè)助力企業(yè)復工復產(chǎn)的重要數字化工具。新金融生態(tài)下,小程序已成為金融行業(yè)加速業(yè)務(wù)轉型和數字化發(fā)展的重要平臺。





然而,伴隨著(zhù)高價(jià)值業(yè)務(wù)渠道和資源的遷移,金融小程序也因暴露面增加和原有安全策略的缺失而面臨著(zhù)更為嚴峻的安全局勢。確保“0”大型平臺問(wèn)題,“0”數據安全問(wèn)題的安全標準,加之復雜的跨網(wǎng)交換和成倍增加的運營(yíng)壓力,都向小程序應用發(fā)起了更大的挑戰。
來(lái)自騰訊云的安全架構師魚(yú)勇在A(yíng)pp安全與個(gè)人信息保護論壇上,就分享了自己的看法——當前,金融小程序面臨的安全風(fēng)險主要表現在三大方面。一是在小程序與微信交互的開(kāi)發(fā)過(guò)程中,開(kāi)發(fā)者為追求上線(xiàn)速度而未能規范使用開(kāi)發(fā)API,將帶來(lái)因用戶(hù)信息泄露所衍生的業(yè)務(wù)營(yíng)銷(xiāo)身陷“薅羊毛”的風(fēng)險;二是作為小程序安全最為薄弱的環(huán)節,小程序在與第三方服務(wù)器業(yè)務(wù)邏輯交互過(guò)程中,可能存在用戶(hù)信息泄露、訂單盜刷等安全風(fēng)險,甚至出現“仿冒與山寨”小程序;三是與小程序交互的第三方服務(wù)器本身或存在SQL注入、管理員口令泄露等Web安全風(fēng)險,從而導致金融小程序數據被爬取、破解,帶來(lái)數據泄露風(fēng)險。
這些安全風(fēng)險,背后都是小程序行業(yè)客觀(guān)現實(shí)。首當其沖的,就是建立安全防御的時(shí)間沖突。作為一種更輕量化、強調快速開(kāi)發(fā)能力的應用開(kāi)發(fā)方式,小程序的時(shí)效要求一直很強,往往也就沒(méi)有了安全建設的時(shí)間;第二是小程序所需的安全能力是復雜多樣的:小程序本身的代碼需要確保安全、小程序部署的服務(wù)器需要確保安全、小程序本身內嵌的業(yè)務(wù)邏輯需要確保安全,復合的安全能力需求,一般公司和開(kāi)發(fā)員工并不一定全部具備。最后是小程序對于整個(gè)系統的潛在安全威脅,小程序通常會(huì )跟企業(yè)自身的數據庫,其他形式應用相通,小程序沒(méi)有做好安全防御就有可能危及全局;最后是小程序安全防御能力需求多樣的客觀(guān)事實(shí)。
在魚(yú)勇看來(lái),在金融行業(yè)大步向數字化轉型邁進(jìn)的趨勢下,小程序作為其業(yè)務(wù)服務(wù)場(chǎng)景擴延和拓客的主要工具,其安全性也已成為以小程序為載體的金融業(yè)務(wù)開(kāi)展不可忽視的基礎考量,對于金融“無(wú)接觸”服務(wù)的擴延至關(guān)重要。
貫穿前后端全場(chǎng)景,打通開(kāi)發(fā)運維安全一體化部署鏈路
針對已全面瞄準小程序開(kāi)發(fā)前后端的潛在安全風(fēng)險,魚(yú)勇認為應將安全性納入到整個(gè)開(kāi)發(fā)的全過(guò)程,打破“補丁式”安全策略限制,強化小程序原生安全能力,打通開(kāi)發(fā)運維安全一體化的部署鏈路,是筑牢金融小程序應用與發(fā)展底座的有效途徑。
基于這一思路,騰訊結合20余年的安全攻防積淀和在微信小程序開(kāi)發(fā)運營(yíng)場(chǎng)景中的防護實(shí)踐,提出了一套覆蓋小程序開(kāi)發(fā)全流程的安全部署方案,旨在打通小程序前端和后端的安全鏈路,為金融行業(yè)提供兼具開(kāi)發(fā)和運營(yíng)的全方位小程序安全防護,從而助力“無(wú)接觸”業(yè)務(wù)的推行與平穩發(fā)展。
以自動(dòng)化檢測小程序安全性的機制為例,就必不可少。小程序的數量持續激增,實(shí)現自動(dòng)化檢測的重要性異常凸顯。以騰訊安全自己的小程序安全自動(dòng)化檢測技術(shù)方案為例,這套自動(dòng)化檢測方案主要由兩部分組成;位于底層的掃描器用來(lái)檢查常見(jiàn)的基礎安全問(wèn)題,例如通用web風(fēng)險、微信API掃描、代碼安全等等。而用AI驅動(dòng)的小程序爬蟲(chóng),則主要用來(lái)模擬人為操作中的安全漏洞,例如點(diǎn)擊、輸入、滑動(dòng)等等。有效解決小程序快速上線(xiàn)與安全性保障之間的矛盾,盡可能從源頭上剔除安全風(fēng)險。
在小程序與后臺的連接交互方面,騰訊還結合自己豐富的攻防經(jīng)驗,以及七大頂級安全實(shí)驗室技術(shù)優(yōu)勢,對小程序進(jìn)行滲透測試,通過(guò)截獲網(wǎng)絡(luò )數據、業(yè)務(wù)數據篡改、API調用數據監控等手段,進(jìn)一步挖掘小程序運行過(guò)程可能存在的安全“突破口”,從而確保整個(gè)后端服務(wù)器的安全,杜絕因某個(gè)小程序被攻擊而帶來(lái)的連鎖反應。
不過(guò)這遠不是騰訊在小程序上投入的全部,騰訊安全還在持續推進(jìn)小程序輸出云原生概念的,通過(guò)更新的技術(shù)、更完善的理念,推進(jìn)DevOps技術(shù),將需求、設計、自動(dòng)化檢測全面融入開(kāi)發(fā)流程中,從而滿(mǎn)足用戶(hù)開(kāi)發(fā)運維一體化的安全部署需求。
 
本文地址:http://havencoinwallet.com//article/2020/1117/21725.html
相關(guān)文章:
最新文章:
国产免费丝袜调教视频爱剪辑|国产小受18asian|国产福利91精品一区二区三区|久久久青草大香|欧美丰满熟妇xxxx性