優(yōu)惠活動 - 12周年慶本月新客福利
優(yōu)惠活動 - 12周年慶本月新客福利
優(yōu)惠活動 - 12周年慶本月新客福利

不提前做好安全 開發(fā)什么小程序應用?

11月3日,北京金融科技產(chǎn)業(yè)聯(lián)盟、移動支付網(wǎng)聯(lián)合主辦的2020第五屆中國金融科技安全大會在深圳舉辦。來自相關金融機構、監(jiān)管部門和安全企業(yè)的數(shù)百位行業(yè)領袖,圍繞金融“無接觸”時代的安全監(jiān)管、行業(yè)痛點、“抗疫”經(jīng)驗和科技應用趨勢等問題展開了深入探討,旨在聚合產(chǎn)業(yè)鏈各方量,探索金融安全發(fā)展之路。
后疫情時代,在新冠戰(zhàn)“疫”中扮演了“核心武器”的小程序,因其在金融科技領域應用范圍的爆發(fā)式擴展,其安全問題成為本屆大會的重要關注點之一。
小程序成“無接觸金融”擴延“加速器”,安全性是基礎考量
移動支付、數(shù)字貨幣、云計算、5G等技術日趨場景化的普及應用,使得銀行、保險、證券等金融機構加快了向“無接觸生產(chǎn)及服務”邁進的迭代步伐。突如其來的新冠疫情和持續(xù)鋪展的新基建版圖,更是為數(shù)字化、智能化的“無接觸金融”造就了加速擴延的新契機。
在疫情期間,各類金融小程序因低開發(fā)門檻、強用戶體驗和快速上線并迭代的特性,而成為金融行業(yè)助力企業(yè)復工復產(chǎn)的重要數(shù)字化工具。新金融生態(tài)下,小程序已成為金融行業(yè)加速業(yè)務轉型和數(shù)字化發(fā)展的重要平臺。





然而,伴隨著高價值業(yè)務渠道和資源的遷移,金融小程序也因暴露面增加和原有安全策略的缺失而面臨著更為嚴峻的安全局勢。確保“0”大型平臺問題,“0”數(shù)據(jù)安全問題的安全標準,加之復雜的跨網(wǎng)交換和成倍增加的運營壓力,都向小程序應用發(fā)起了更大的挑戰(zhàn)。
來自騰訊云的安全架構師魚勇在App安全與個人信息保護論壇上,就分享了自己的看法——當前,金融小程序面臨的安全風險主要表現(xiàn)在三大方面。一是在小程序與微信交互的開發(fā)過程中,開發(fā)者為追求上線速度而未能規(guī)范使用開發(fā)API,將帶來因用戶信息泄露所衍生的業(yè)務營銷身陷“薅羊毛”的風險;二是作為小程序安全最為薄弱的環(huán)節(jié),小程序在與第三方服務器業(yè)務邏輯交互過程中,可能存在用戶信息泄露、訂單盜刷等安全風險,甚至出現(xiàn)“仿冒與山寨”小程序;三是與小程序交互的第三方服務器本身或存在SQL注入、管理員口令泄露等Web安全風險,從而導致金融小程序數(shù)據(jù)被爬取、破解,帶來數(shù)據(jù)泄露風險。
這些安全風險,背后都是小程序行業(yè)客觀現(xiàn)實。首當其沖的,就是建立安全防御的時間沖突。作為一種更輕量化、強調(diào)快速開發(fā)能力的應用開發(fā)方式,小程序的時效要求一直很強,往往也就沒有了安全建設的時間;第二是小程序所需的安全能力是復雜多樣的:小程序本身的代碼需要確保安全、小程序部署的服務器需要確保安全、小程序本身內(nèi)嵌的業(yè)務邏輯需要確保安全,復合的安全能力需求,一般公司和開發(fā)員工并不一定全部具備。最后是小程序對于整個系統(tǒng)的潛在安全威脅,小程序通常會跟企業(yè)自身的數(shù)據(jù)庫,其他形式應用相通,小程序沒有做好安全防御就有可能危及全局;最后是小程序安全防御能力需求多樣的客觀事實。
在魚勇看來,在金融行業(yè)大步向數(shù)字化轉型邁進的趨勢下,小程序作為其業(yè)務服務場景擴延和拓客的主要工具,其安全性也已成為以小程序為載體的金融業(yè)務開展不可忽視的基礎考量,對于金融“無接觸”服務的擴延至關重要。
貫穿前后端全場景,打通開發(fā)運維安全一體化部署鏈路
針對已全面瞄準小程序開發(fā)前后端的潛在安全風險,魚勇認為應將安全性納入到整個開發(fā)的全過程,打破“補丁式”安全策略限制,強化小程序原生安全能力,打通開發(fā)運維安全一體化的部署鏈路,是筑牢金融小程序應用與發(fā)展底座的有效途徑。
基于這一思路,騰訊結合20余年的安全攻防積淀和在微信小程序開發(fā)運營場景中的防護實踐,提出了一套覆蓋小程序開發(fā)全流程的安全部署方案,旨在打通小程序前端和后端的安全鏈路,為金融行業(yè)提供兼具開發(fā)和運營的全方位小程序安全防護,從而助力“無接觸”業(yè)務的推行與平穩(wěn)發(fā)展。
以自動化檢測小程序安全性的機制為例,就必不可少。小程序的數(shù)量持續(xù)激增,實現(xiàn)自動化檢測的重要性異常凸顯。以騰訊安全自己的小程序安全自動化檢測技術方案為例,這套自動化檢測方案主要由兩部分組成;位于底層的掃描器用來檢查常見的基礎安全問題,例如通用web風險、微信API掃描、代碼安全等等。而用AI驅動的小程序爬蟲,則主要用來模擬人為操作中的安全漏洞,例如點擊、輸入、滑動等等。有效解決小程序快速上線與安全性保障之間的矛盾,盡可能從源頭上剔除安全風險。
在小程序與后臺的連接交互方面,騰訊還結合自己豐富的攻防經(jīng)驗,以及七大頂級安全實驗室技術優(yōu)勢,對小程序進行滲透測試,通過截獲網(wǎng)絡數(shù)據(jù)、業(yè)務數(shù)據(jù)篡改、API調(diào)用數(shù)據(jù)監(jiān)控等手段,進一步挖掘小程序運行過程可能存在的安全“突破口”,從而確保整個后端服務器的安全,杜絕因某個小程序被攻擊而帶來的連鎖反應。
不過這遠不是騰訊在小程序上投入的全部,騰訊安全還在持續(xù)推進小程序輸出云原生概念的,通過更新的技術、更完善的理念,推進DevOps技術,將需求、設計、自動化檢測全面融入開發(fā)流程中,從而滿足用戶開發(fā)運維一體化的安全部署需求。
 
本文地址:http://m.hbbqcd.cn//article/2020/1117/21725.html
相關文章:
最新文章: