位置:编程技术网 > 物联网 > 正文 >

不提前做好安全,开发什么小程序应用?

2020年11月11日 11:33来源:未知手机版

驱魔师刷图加点,杨幂的qq号是多少 要真的,胶片机

11月3日,北京金融科技产业联盟、移动支付网联合主办的2020第五届中国金融科技安全大会在深圳举办。来自相关金融机构、监管部门和安全企业的数百位行业领袖,围绕金融“无接触”时代的安全监管、行业痛点、“抗疫”经验和科技应用趋势等问题展开了深入探讨,旨在聚合产业链各方量,探索金融安全发展之路。

后疫情时代,在新冠战“疫”中扮演了“核心武器”的小程序,因其在金融科技领域应用范围的爆发式扩展,其安全问题成为本届大会的重要关注点之一。

小程序成“无接触金融”扩延“加速器”,安全性是基础考量

移动支付、数字货币、云计算、5G等技术日趋场景化的普及应用,使得银行、保险、证券等金融机构加快了向“无接触生产及服务”迈进的迭代步伐。突如其来的新冠疫情和持续铺展的新基建版图,更是为数字化、智能化的“无接触金融”造就了加速扩延的新契机。

在疫情期间,各类金融小程序因低开发门槛、强用户体验和快速上线并迭代的特性,而成为金融行业助力企业复工复产的重要数字化工具。新金融生态下,小程序已成为金融行业加速业务转型和数字化发展的重要平台。

然而,伴随着高价值业务渠道和资源的迁移,金融小程序也因暴露面增加和原有安全策略的缺失而面临着更为严峻的安全局势。确保“0”大型平台问题,“0”数据安全问题的安全标准,加之复杂的跨网交换和成倍增加的运营压力,都向小程序应用发起了更大的挑战。

(腾讯云安全架构师鱼勇)

来自腾讯云的安全架构师鱼勇在App安全与个人信息保护论坛上,就分享了自己的看法——当前,金融小程序面临的安全风险主要表现在三大方面。一是在小程序与微信交互的开发过程中,开发者为追求上线速度而未能规范使用开发API,将带来因用户信息泄露所衍生的业务营销身陷“薅羊毛”的风险;二是作为小程序安全最为薄弱的环节,小程序在与第三方服务器业务逻辑交互过程中,可能存在用户信息泄露、订单盗刷等安全风险,甚至出现“仿冒与山寨”小程序;三是与小程序交互的第三方服务器本身或存在SQL注入、管理员口令泄露等Web安全风险,从而导致金融小程序数据被爬取、破解,带来数据泄露风险。

这些安全风险,背后都是小程序行业客观现实。首当其冲的,就是建立安全防御的时间冲突。作为一种更轻量化、强调快速开发能力的应用开发方式,小程序的时效要求一直很强,往往也就没有了安全建设的时间;第二是小程序所需的安全能力是复杂多样的:小程序本身的代码需要确保安全、小程序部署的服务器需要确保安全、小程序本身内嵌的业务逻辑需要确保安全,复合的安全能力需求,一般公司和开发员工并不一定全部具备。最后是小程序对于整个系统的潜在安全威胁,小程序通常会跟企业自身的数据库,其他形式应用相通,小程序没有做好安全防御就有可能危及全局;最后是小程序安全防御能力需求多样的客观事实。

在鱼勇看来,在金融行业大步向数字化转型迈进的趋势下,小程序作为其业务服务场景扩延和拓客的主要工具,其安全性也已成为以小程序为载体的金融业务开展不可忽视的基础考量,对于金融“无接触”服务的扩延至关重要。

贯穿前后端全场景,打通开发运维安全一体化部署链路

针对已全面瞄准小程序开发前后端的潜在安全风险,鱼勇认为应将安全性纳入到整个开发的全过程,打破“补丁式”安全策略限制,强化小程序原生安全能力,打通开发运维安全一体化的部署链路,是筑牢金融小程序应用与发展底座的有效途径。

基于这一思路,腾讯结合20余年的安全攻防积淀和在微信小程序开发运营场景中的防护实践,提出了一套覆盖小程序开发全流程的安全部署方案,旨在打通小程序前端和后端的安全链路,为金融行业提供兼具开发和运营的全方位小程序安全防护,从而助力“无接触”业务的推行与平稳发展。

本文地址:http://www.reviewcode.cn/wulianwang/179529.html 转载请注明出处!

今日热点资讯