03:11
好,嗯,大家下午好,嗯欢迎走进我们阿拉丁的直播间,然后我们的直播马上就开始了,大家可以,嗯做好啊,我们今天的分享的主题是全域视角下再看安全啊首先跟大家介绍一下我们这个主题啊,其实是很有意思的,因为我们在去年的六月份,嗯曾经跟腾讯安全嗯联合这个发布了嗯两款嗯产品和这个解决方案,一个是那个风控,一个是小程序安全,我记得我们去年啊还做了一场直播,呃也是我跟今天即将出席的嘉宾王雷雷老师,我们一起做了一场关于这两个产品的呃解读和介绍,然后和那个这个两个产品联合发布之后呢,我们也收到了一些小程序开发者和企业的这个呃响应,然后有一些也参与了我们的这个,呃,之前的测试,然后以及以目前一些也在合作中。
04:12
这个一年了,我们这个回看这个小程序安全这个事情,然后我们觉得有必要再来一场直播,然后来跟大家讲一讲我们在过去一年里,嗯,在小程序安全方面的一些观察和一些这个腾序安全产在产品方向上的进步和取得的一些成果,嗯那么今天我们的主题呢,呃,刚才给大家介绍了,然后这个嗯,今天我们也会重在重磅推出两个呃产品或者或者方案,一个是那个企业级小程序安全系列专项方案啊,这个是在我们去年的联合发布的两款产品的基础上,然后再重新重新根据大家的反馈和需求,嗯,重新组建了一个新的这个呃服务的解决方案,嗯,可我们相信这个新的方案呢,应该会给到更多的这个开发者和经营者啊,一些好的这个服务和帮助,然后另外一个呢,因为是做了一些这个有一些小程序,嗯,开发者和经营者也是参与了我们嗯的一。
05:12
这个。阿拉丁这边的这个关于这个市场观察,市场洞察数据这方面的一些活动,所以我们也推出了一个呃小程序安全指数啊,这个有点类似我们的阿拉丁小程序指数啊,熟悉阿拉丁的朋友应该都知道,我们的这个小程序指数啊,是这个做了连续做了呃五年,然后这个呃基本上是大家都是看看着这个呃来根据这个指数的变化和发展来判断这个小程序市场的一些呃现状,然后发展情况和趋势的啊,所以我们也是嗯看到这个在小程序安全这个这一个领域里面,其实是缺少这一方面的比较权威的这种能从行业视角去综合呃反馈整个市场安全市场的情况的,所以我们也推出了这么一个,嗯,今天推出一个这么一个分享吧,当然这个产品还在建设中,嗯,然后如果大家听完我们的分享感兴趣的话,也可以联系我们参与这个测评,嗯。
06:12
这是今天的两个重点重磅要推出的事情,然后介绍一下今天的嘉宾啊,就是去年曾给我们带来分享的这个王伟磊老师啊,他是腾讯安全流量风控的自身产品专家,嗯,那个稍后呢,呃,会由他跟大家重点去介绍这个腾讯的安全的这些关于小程序领域的这种安全产品的一解,这个解深入的解读,包括他们取得的一些经验和成果。那么我们今天的流程分为几个部分,首先是由我来跟大家分享我们从阿拉丁这个第三方啊,行业第三方视角下,关于小程序安全建设的这个发展情况的洞察,然后以及给大家介绍一下我们在小程序安全指数,通过小程序安全指数发现了哪些,呃,现在的这个现象和情况,然后第二部分呢,会由蕾蕾老师给大家重点去介绍腾讯安全产品的这个一些前沿的探索啊,包括一些这个行业经验,以及这个呃,服务在服务客户中。
07:12
的获取的一些经验和那个呃心得,然后第三部分我们会有一个互动环节,然后因为之这个活动之前一周已经发了这个呃邀约信息,所以大家我们也会收到了很多小程序开发者的一些提问,我们汇总了一些问题,当然如果现场大家有其他问题的话,也可以打在公屏上,然后我们会呃跟选择一些就是大家比较重点关注的问题来呃解答,然后呢,介绍一下本场活动的福利啊,因为每场必嗯必有这个惊喜带给大家。嗯,那个首先是大家可以通过嗯扫码进我们的社群,进社群呢,呃首先会获得我们本场直播的回放,然后以及这个呃相关的课件分享的课件,然后呢,还会获得我们往期的一些报告,包括我们刚刚发布的2022年度的小程序互联网发展白皮书,还有视频号的白皮书,嗯还有我们一些就是呃制作的一些营销工具,比如说图谱啊,还有等其他的一些这个案例解,案例库之类的这种呃信息信息的分享,然后还可以就是嗯还有我们会陆续也会突出更推出更多的资料,然后大家如果进群的话,都可以及时的获得,嗯在顺便预告一下,这个我们今天发我今天发布的这个安全建设与发展洞察的这个报告呢,预计是在明天正式发布,所以大家,嗯,今天直播后可能不能立即领到资料,或者在直播中大家可以先进群,然后明天我们会统一在群内发放,嗯。
08:49
给大家一点进群的时间,我把这个PPT翻一下,好,那我就开始,我先开始我这边的分享,嗯,所以说我们小程序就是自从去年我们跟腾讯联合发布了那两款产品,然后邀约了一些客户,嗯跟我们一起共同体验之后,嗯我们也在安全领域上获得了一些新的这个呃知识和一些这个体感和认知,所以我们呃其实发现就是嗯小程序结合我们自己第三方的视角吧,就是小程序现在是呃随着生态建设的全面展开,它是进入了一个多元化功能,然后多场景适配以及多平台服务的这么一个阶段,那其实伴随着这个繁荣一定是有啊更复杂的业务,然后还有更广阔的营销的空间啊,可以触达的手段,然后以及更多的第三方服务,嗯,去参与其中,所以呢,在这。
09:44
其中也会就给小程序安全带来我们所可能可能会知的,也可能不可能不不预、不会预知的一些风险。那么所以我们也是对呃小程序安全做了一些嗯这个发展开放的一些盘点吧,包括呃梳理了一些行业内的关于网络安全的资料,其实我们发现关于小程序安全市场的情况的介绍并不是很多见啊,可能是因为大家觉得小程序带着个小字儿啊,觉得小程序它可能并不是嗯网络的核心,也不是重点,但其实我们认为情况恰恰相反啊,所以说这个大家对于一谈到网络安全,小程序安全自然而然的会归为网络安全。
10:25
中的一部分,那么所以我们这也是我们今天推出这个观察的一个初衷吧,然后这个分享主要分为三部分,一个是关于安全发展概况的介绍,一个是就是关于安全的安全发展情况的一个分析,这里面主要重点借助的是我们的安全指数。然后第三部分就是会给大家介绍一下重点的一些安全防护的一些场景。嗯,首先为什么说小程序啊,小程序嗯,它是这个,嗯,不不在,那是大家认为的小程序呢啊,其实我们在站在第三方的视角下,嗯,可以从这几个角度来看吧,首先是生态这个视角,因为我们呃熟悉我们阿拉丁的同学能在白皮书里都反复的看到过,我们在强调啊,现在是多生态格局,然后一个小程序开发者可能在多个平台同时运营,嗯,那么在这种情况下,其实这个嗯,小程序在移动互联网中,基本上我们是认为现在是站在C位上的啊,然后它面临的复杂的业务程度也是越来越复杂,包括这个功能增加,然后还有这个呃,多元化的这个品牌开展,就是品牌开展的这个矩阵服务,然后包括多平台的适配啊,这些从技术角度上都会提出一些新的这个课题和挑战,同时也会带来相应的安全的隐患和风险。那么在业务。
11:51
层面呢,其实呃,如果说是一个小程序,它在多平台运营的情况下,它的业务复杂度也是逐步的提升的,包括使用一些第三方工具,然后关于用户信息的一些安全防护,也都是比之前要更加更难。然后。
12:06
需要考虑更多问题的,那么在推广营销层面就更不用说了,这个历年的羊毛党啊,然后流量欺诈这种问题是屡见不鲜,然后屡禁不止,嗯,因为其中毕竟是有暴力存在的嘛,所以这个当我们的小程序借助了,嗯,这个特别是在搭搭建全全域的链路,然后不管是呃平台还是单平台,然后或者是使用一些营销工具的时候,都会面临这样的作弊的这种风险,然后最后生态服务呢,就是小程序跟生态交互啊,跟生态内组建的服务,然后使用第三方工具的服务,这种情况下也都会带来相应的风险存在,所以说我们在这个生态的视角下,我们可以看到呃,业务复杂度提升,然后技术功能的不断的开发和创新,然后包括使用第三方服务的成熟度啊,都会给我们的小程序安全带来的这个未知的挑战。
13:01
刚才是生态视角,那么从小程序视角来看,其实也是如此啊,然后这个这张图里面重点显示的是我们的小程序,嗯,它在全域的扩展的这个能力,不管它,它基本上是如果我们以微信生态来看的话,它在生态内啊,除了串联组件之外,然后还可以通过视频号去连达人,然后通过二维码去连接线下,然后再通过一些跳转的链接去呃连接呃这个微信生态之外的各个平台,所以在这种情况下,其实小程序的扩展能力基本上是到了互联网,互联网有多大边界,它就能扩展到什么样的边界,那么在这种情况下,我们是认为小程序基本上是肩负了全域经营枢纽的一个重任啊,不管你最后引流到APP,还是你要引流到私域小程序。基本上都是你必经之路啊,至少它是一个必必须经过的一个环节,那么在这种情况下,它势必会与多平台,然后与多个组件去产生嗯连接和交互,那么在这种情况下,它也会产生很多很多的风险,那么对于小程序用户方面而言啊,但那我说那个我小程序啊,多平台发展也好,然后这个呃,我在全域,然后大神通也好,那用户买不买账呢?其实我们在去年的白皮书里面就已经写到了,就是嗯,小程序其实基本上是涵盖了这个可以覆盖这个网民的一天的这种生活,呃服务的这种做一个承接吧,然后所以说这个,嗯,在我们白皮书里面的数据显示的是全网的780万的小程序量,然后8DAU,然后以及每日日人均使用次数是12.6次,那么其实从时段上来看,它可以涵盖所几乎你所有的。
14:52
嗯,生活服务的或者说是消费的需求,那么在这种情况下。个人信息安全,那就是必须成为小程序想要好好发展的这个标配,如果你的个人信息安全都被用户质疑的话,那你的小程序这个前景可想而知,那么所以从生态角度,从小程序经营者角度和从用户角度上来看,安全都是非常非常到了非常重要的一个地步,就是那么在这种情况下啊,我们一下大概现在小程序这个设计的安全种类啊,大概有这么几种,从开发阶段就会有代码的防护,代码的规范,以及测试保密,然后包含用户安全,内容安全,数据安全,业务安全啊大概呃,主要的就这么几种,当然肯定不限于此啊,嗯,如果涉及到比较深的技术手段的话,可能会这个图谱会列的非常非常的详细。
15:48
那么我们知道小程序很安全很重要,我们也知道不得不做这些事情,但是实际情况下其实是嗯,企业可能会因为各种原因啊,这个在这个嗯,是让这个这个容忍这个小程序风险,有一定风险的存在啊,有可能是依碍于这个是开发周期的限制,然后专业能力的限制,然后开发成本的支出啊,都有可能,所以说呃,这个呃,不好意思,这一页里面那个我们的那个字体字有点有点错误啊,我给大家解释一下这个,嗯。
16:24
他会,呃,首先是他会在支出成本方面它有一定的呃影响啊,刚才我提到了就是嗯,预算啊,排期,然后技术能力,或者说是待开发的时候,那个第三方服务不靠谱啊,或者说给你转包了啊,都有可能会影响到你的安全,而你不一定能预判这个安全到底安全风险到底有多高,那么中间这部分其实是小程序会在业务,基于业务需要,会不可避免的跟这个生态第三方服务的业务逻辑发生交互,那么其实这个是大家公认安全最薄弱的环节,虽然我们嗯最后凭凭借这个。
17:02
安全指数和安全小程序检测,其实这也不是不是最有可能是之一,但不是那个唯一啊,然后这里面可能就会涉及到一些技术上的这个,呃,API的规范的这方面的问题,然后导致用户信息泄露啊,订单订单盗刷呀这种啊,然后最后呢,营销活动就不用更不用提了,就是流量作弊和黑产套现的这种重灾区啊,大家会呃,经营者会经常头痛于这个恶意注册啊,恶意刷单啊,网赚啊,薅羊毛的这种现象,当然有的是团伙作案,有的是这个呃,采用这个真实的这个大批量的这个无辜的网民啊,号召大家一起去薅羊毛,然后从中赚取利益啊,这些都是有可能发生的,那么在这些情况下,企业是想想要完全的避免这些风险,几乎是嗯,不太可能的,或者说是需要付出巨大成本的。那么不仅如此,其实我们认为。这个嗯嗯,通过这些问题,其实我们也反映出来,我们认为,我们认为现在市场上存在要想解决这个问题啊,就是嗯,还是需要多方去努力,共同建建立这么一个这个规范化的这种,呃,从认知到这个践行的这么一个规范化的一个闭环体系啊,这里面可能包含着就是我们会。
18:20
相应的接受一些成本上的支出,不管是采用产品也好,还是这个嗯,采取呃,聘用一些有有这个丰富经验的专家也好,那么在风险层面,其实你要时刻提醒自己,就是呃,包括你会接受市场上经典案例的一些教育,然后还有一些,呃,另一侧就是这是这是被动层面,就是一些案例告诉你,警示你,哎,我不能这么干,然后那么主动层面,其实我是可以去主动探索一些这个新一些的这个防控技术,来帮助我的小程序,增强我的抵御风险的能力。那么在行业层面,我们也是觉得应该有一个共建理念,共建理念下的这个安全意识,当然也一定会配备一个行业公认的一个参照标准,这也是我们愿意推出小程序安全指数的一个。
19:09
初衷,因为只有大家有一个地方去交流,或者说是去对比,去观察这个市场到底是什么情况,才有可能在安全意识上形成讨论,交流,互动,然后达成共识,哎,我们认为小程序的安全,呃,你特别是在一个生态下啊,我们其实安全,嗯不不是一个一个小程序,或者说是一家服务方的一家企业的这个责任,其实整个生态,呃,从这个生态的这个经营者一直到参与者啊,都会呃承担这个相应责任的这么一个呃状态,要不然就不能称之为生态了,他一定是有这个自驱和自建自我发展的能力的,所以我们是认为就是知,虽然是知易型难,但是还是需要行业多方共同践行。好,那我们可以看到,我们先按照这个思路,先去看了一下大几大生态的表现啊,就是我们大概分为两类,就是呃,这个微信和支付宝,其实是呃相应来说这个比较类似的,因为他们为什么呢?就是虽然每家都有运营规范,但是这两家它是有安全检测服务,安全诊断和安全检测服务的。
20:21
那么相比之下,抖音快手和百度这三个生态,其实他们是通过这个信用分或者是等级啊来这个属于这种,呃在我们看来属于一种事后的一种呃管控的一种措施啊,因为诊断的话,其实可以是可以帮你预先发现一些问题的,嗯,然后你规避掉一些可能会影响到你的是这个风险,但是那个等级和评分呢,可能会是通常会有扣分,扣分的情况吧,比如说你的这个呃有问题的话,你会你会被这信用分被扣,或者等级分被扣,然后你降级,降级可能你的呃福利待遇就会受到影响啊,或者你经营情况会受到影响,还是用这种事后的方式,就是反,要么是事前,要么是事后,其实我们认为啊,就是最好是都有,对但但是都有的话,嗯,对于一个生态,如果这三件,这几件事同时都做,又有又有规范,然后又有测试服务,然后又有等级划分这个事情。
21:21
嗯,还是比较难的,因为我们也目前没有发现任何一家生态同时做了这三点啊,所以是我觉得我们觉得是第三方服务,如果可能的话也可以跟进这些。啊,比如说我们我们想做安全指数,其实是希望能看,因为微信生态确实目前还没有一个公开的啊,去给小程序安全做一个这个,嗯,对比或者说参照的这么一个,呃服务,所以我们也是这也是我们希望进入的这进入这个这个领域的一个比较小的想法吧。那其所以我们就跟腾讯安全联合推出了这个企业级小程序安全系列的专项方案啊,这个专项方案如果大家关关注我们阿拉丁指数的话,其实是可以看到近期我们推了相关的文章,嗯,然后这个介绍了一下我们这个专项服务里面包含了哪一些的,呃,产品和业务,嗯,比如说在这里简单介绍一下这个,嗯,有内容的实时审核,然后大促保障,然后还有虚假流量鉴别,然后还有一些那个人工测试和专业报告服务,还有就是事前感知渗透的这种,就是全链路的这种,呃,反羊反薅羊毛的这种反反黑产的这种服务吧,然后这个目前的话,我们比较这个聚焦的是下面几个这领域啊,互联网业务的,有新零售业务的啊,社交直播和视频业务的,然后旅游出行业务,还有游戏业务啊,如果你是这几类业务之一,然后可以嗯,又对我们的这个安全产品感兴趣的话,这个。
22:57
有专项方案感兴趣的话可以联系我们,然后进群也可以,进群咨询也可以哈,欢迎大家这个来,呃,具体的这个服务的产品的内容呢,稍后也会有雷雷老师给大家重点去讲解。
23:13
那我们介绍第二个事情,就是我们刚才提到的这个安全指数的评估模型啊,我们这个因为是我们有这个专项服务的方案嘛,然后也会提供这种嗯测试的服务,然后这个我们的指数基本上是基于这个,呃,小程序检测的得分就是根据腾讯这个安全的相关产品的检测得分,然后去去去测算的,当然我们有自己的算法啊,呃,我们的算法其实是基于这个第三方视角下啊,从生态角度啊,从行业政策角度去看如何,嗯小程就是一个安全系数高的小程序,它应该是什么样子?嗯,具体我们分了三部分,一个是这个开发访问,呃安全检测就是嗯,你安全检测的结果,包括开发的安全,访问的安全和信息安全,这是我们三个核心的指标,当然下面还有在下的指标,然后第二项呢,是风险扣分,因为你有。
24:11
无论是低风险,中风险还是高风险的话,其实对你的产品是有相应的影响的,如果你会出现这个风险,有个数有有数量有风险的话,我们会给予以相应的扣分,然后最后一个是安全的,因为我们都知道小程序是,呃,跟其他的网络应用一样,是这个有经常的迭代也好,或者说是新功能上线或者也好,运营活动上线也好,这种情况。那么我们其实是不太建议,就是每上每更新一次,如果都做检测的话,其实对对这个,呃,经营来说也是一个不小的支出啊,但是我们确实是认为,嗯,因为互联网技术都是在不断的进步和创新的,那如果你很长时间都不检测的话,嗯,你的安全抵御抵御风险的能力确实是会下降的,因为你代表你对行业的这个整个整体的发展情况。
25:03
这个感知能力和这个应变能力都有有限,所以说我们认为是如果技术创新,嗯,就是一个好的小程序,或者说安全的小程序,或者一个安全系数高的小程序,那它一定是与时俱进的,它会根据现最新的这种技术去保护自己,然后也保护自己的运营,那么呃,如何进入我们这个小程序安全指数,因为我们现在这个指数呢,它现在是处于我们这个后台计算的一个阶段,还没有正式形成一个呃完善的产品啊,所以如果想接入我们的安全指数,想参与评分,或者想看看哎,我这个呃,那个水平到底在行业中处于什么状态的话,嗯,可以通过左侧的这个流程来获得,嗯,就是参与我们的这个专项方案,然后去检测产品以后,你就会获得一个这个。产品的指标得分,那么然后我们会根据你的指标得分去测算你的指数得分,然后测算了以后你就会可以有机会参加指数排名,当然我们后期会推出这个排名榜单,但是现在嗯,还没有啊,还没有这个榜单啊,我们可能有可能会以报告的形式,然后给大家,嗯,按周期去展示当下小程序安全的一个发展的情况,那么接入这个指数你能获得什么?就是首先你可能会获得我们呃近千个,我们现在已经有近千个小程序去参与了这个事情,会获得这个整体的数据的情况,一个市场观察,然后会有一个数据参照,因为毕竟有你的同行,也有你的竞对啊,然后行业对比也可以去看那个,哎,你可能你们行业不如其他隔壁行业做的更好,然后也可以对比一下看,诶,可能其他行业在某一项上可能有一些特长,可以去寻找这方面的服务,然后还有就是第三方背书,如果当呃未来接入排名之后。
26:52
啊,可能会获得。这个我们出具的就是榜单也好,然后上面的一些关于你的记录。
27:01
好,这是刚才我们所讲的安全发展的概况,也就是说其实总结起来就是小程序在C位,然后它很重要,它衔接了很多很多的业务,然后它的安全也会变得非常,就是受到广泛的关注吧,或者说应该受到深度的关注,那么在这种情况下,我们推出了这个安全专项方案和这个指数的指数的解决方案吧,算是然后方便大家来参照这个对比。那么现在我们就看一下我们根据指数测算出来的结果是什么样啊。首先左侧这是我们这个整整体的测算规则啊,刚才跟大家说的这几项,然后包含了这几这几个分项,嗯,那么在这种情况下,嗯,我们配比了每一个这个项目的权重,嗯,然后如果你呃拿到了这个就是获得检测过了以后会有相应的得分,我们会根据这个得分中的项目会给配到相应的这个细分项目上,然后最终获得一个这个你的综合的这个测算的成绩,然后跟当期参与这个测算的小程序一起去做一个排名,这个排名的最高分数肯定是一万分,嗯,然后依次按照规划处理去形成你的指数排指数得分,那么现在我刚才介绍的就是我们现在参与的一共九百九百七十五个小程序,然后他们分布在这17个行业里啊,其实还是很广泛的。我们。
28:37
为了保证这个尽可能的全面反映市场,我们是也是花花了很多心思去找了一些这个愿意跟我合作的这个开发者和企业。啊,首先来看整体的数据啊,我们测算得分的是呃,平均分是6314,嗯,中位数是6250,啊差不多就是这个数值,然后有74.2%的小程序,它集中在嗯5000啊到7000,就是因为是5000和6000分段嘛,就是5000到7000分之间。
29:13
呃,整体的表现吧,就中规中矩吧,因为高分的话,嗯,还是比例比较少的,但是我也要强调一点,我们真的有一个小程序它是满分的,嗯,排那个名,名字我不方便透露,但是真的有一个小程序它是满分的,所以那个一万分是货真价实的100分哦,大家可以关注一下,如果如果你检测参与过这个,嗯,腾讯这个安全指安全产品,呃小程序安小程序安全产品的检测的话,嗯,其实也可以这个反馈给我们,我们也可以看一下,嗯在这个帮你查一下,如果你在这这些这个周期内啊,这些范这个范围内,你大概是一个什么样的情况。然后我们分行业看了一下啊,就是因为大家大体上都是分布在这个5000到6000分段,然后分行业也是如此啊,基本上这个紫色部分它是这个比例是最高的,然后蓝色部分应该是比例越来越小嘛,然后但是我们也看到了,就是相对来说物流,教育,金融这些领域平均指数是相对较高的,左侧是平均指数。
30:17
然后这个品牌的,然后品牌零售的,旅游旅行的,文娱的这方面的,他们的水平就呃不一样了,就是特别是品牌零售,我们看到从1000分段到一万分都有,然后其实当然当然也是因为品牌零售的小程序本身比例,我们邀请的比例也高,然后本身因为企业嘛,企业品牌多的话啊,它这个嗯,确实发展的水平也不一样,因为在我们的呃,小程序白皮书里面也我们也观察到这个现象就是。因为企业品牌它的这个数字化程度,嗯,它大部分都使用了这个第三方服务,那么不管,然后就因为企业品牌自己本身的这个技术能力,也是一方面说明就是企业品牌。
31:07
自己的经营技术能力也是有限的,然后另一方面就是第三方服务,他也难免会有这样或那样的这个问题,所以说是这个分布在各个分段的啊,都不一致啊,然后有满分的标杆,刚才提到了也有低分的产品。那我们看了一下分项的得分啊,我们算了一下分项的满分率,因为在我们眼里就是如果扣分的话,其实嗯,扣分是常态啊,就是有有风险是基本上是不可避免的,除非那个例啊,真的是做的太好了,嗯,但是他也可能是只是在这个周期内做的,如果一旦是新功能上线或者功能复杂化的话,它也不可避免会出现这样问题啊,所以我们看了一下满分率,每一个每一个指标细分项的满分率是一个什么样的情况,那我们发现这个,呃,有一些确实是可以做到100%啊,大家都比较都是满分啊,有有几项我就不念了,然后但是比较突出的是这个,呃,这个。
32:11
代码防护这个地方和这个,嗯,配置风险这个地方啊,我们这里面是这个。嗯,所呃,这个是比例是最低的,1.21.4啊,它的满分率只有这么低。然后。又分行业看了一下这个嗯,不同的这个行业其实是嗯,就是这四项不是满分的指标里面哪些行业做的相对好一些啊,就是嗯,根据标题上看,就是新闻、政务,本地生活、物流这些行业指标是略显优势,但是基本上在这个代码防护和配置风险上,嗯得分都满分率都是很低很低的,所以说刚才大家说这个嗯,接口那个地方是最薄弱的环节,其实数据上反映出来也不一定啊,不是最有可能是之一,但不是那个唯一。
33:07
然后我们又看了一下风险个数,整体上来说,这个基本上有70%的小程序有三到四个风险,这三到四个风险有可能是中风险,有可能是高风险,有可能是低风险,但是不存在只有高风险的小程序,那么同时存在低、中、高三档风险的小程序。啊,775个,就接近我们比例有80%,嗯,其实这个问题还是有的啊,就是大家不要可以回去赶紧检查一下啊,这个如果这个存在风险的话,还是要尽早的消除为好。好,那分享分行业看啊,这也不是所有的小生,呃就也也没有,就大家都基本上都是很平均,嗯拥有多个风险类型,就是这里面测算的是有一类两类还是三类,就是不管你是中高低,我们有分那么多档次,只分了你是只有一类还是有两类还是有三类,有三类风险的小程序都很高,每个行业都是如此啊,所以大家谁也不用瞧不起谁,没有没有这个行业差别,这是普遍心态,这有可能也是因为就是嗯,技术创新和这个功能开发所带来的这个必然啊,也有可能是这个样子的,嗯,但是就是嗯,如果不可避免的话,那就。
34:30
重在防范吧,只能这样说。好,那么刚才介绍了一个我们安全基于安全指数做的一些分析,那整体情况就是嗯,其实有70%多的小程序达到了中不溜的状态啊,5000到6000啊,5000到7000分,然后这个嗯,有一些行业做的比较好,但是有些行业也是做的呃良莠不齐,有好的有不好的,嗯然后这个关于这个薄弱的环节啊,代码和配置安全这这方面还很薄弱,然后还有就是嗯风险,大家每个小程序几乎都有风险,那么在这种情况下,还是要以呃预防呃预防预防为主吧,因为如果实在消除不了风险的话,那么第三部分我们会看一下小程序安全都有哪些场景。
35:20
和防护的实力,我其实我们认为小程序安全,我们我们的呃作方案里面,呃联合发布的那个专项方案里面也体现了是我们认为如果是呃在综合考虑你的企业成本支出,然后安全的嗯防护的程度,然后以及你对于你的发展的这个影响的话,我们认为有至少得有这三项技术,安全,流量风控和隐私合规。先来看我们的技术安全啊,技术安全我们也是这个跟跟腾讯安全学了不少知识啊,就是安全其实是需要关注从上线验收一直到这个运营,然后或者甚至到再次迭代整个的过程,那么其实每一个环节都会有不同的这个,嗯呃,关注的重点,比如说新系统上线验收的时候,我们关注的是这个场景峰值啊,看看我们上线能不能承载啊这个。
36:21
活动带来的这个流量啊,然后负载能力这种,然后运营活动上线的话,可能就会比较关注提前这个优化的系统性能啊,卡顿啊,崩溃啊这种都是很影响用户体验的,然后这样也可能会造成用户的流失啊,如果是所以说一定要保证线上运营的活动是稳定的,顺畅的,然后用户才能顺利的留下来,然后不好意思啊,这个地方这个是应该是。我看看啊,嗯,这个是我们的小编啊,回头扣扣他鸡腿这个地方应该是这个营销活动上啊,预先会预先可以预先,嗯发布这个,呃。
37:03
我看看啊,有这段时间。对,应该是这个提早发现业务故障,优化系统,然后少减少业务中断时间,然后提升用户体验和转化率,避免订单损失,这个地方应该是稳定性测试,嗯嗯,因为这个嗯业务如果是常规业务的话,业务的话,其实这个优化还是在随时进行的,所以我们还是希望嗯,这个安全能够这个不给这个所不不不给用户体验带来一些这个麻烦啊,然后最后一个是兼容性测试,也就是说因为我们特别是安卓系统,因为很多个机型啊,然后如果呃每个经营都测的话,对于经营者来说,这是很困难的事情,那只能测试主流机型,那么所以这方面也是,但是如何评估你要测多少个机型啊,然后你要如如何这个评估这个你测试的量,然后测试的项目,这个也是我们需要考虑的问题,那么除了这四个呃经营场景之外,然后站点的容量评估和小程序代码防护是自始至终都要进行。
38:07
嗯,这里面我就不讲了,然后嗯,所以这个我们在这个专项方案里面就是采用的腾讯的这个,呃专业的这种产品,大概能帮大家完成这五项,基本上是对应的刚才那五个场景来说的啊,比如说兼容性测试,可能就会提供多种模式啊,你根据你自己的这个呃经营的实际的需求,然后呃去做这个相应的这个呃预算跟采采购相应的服务吧,算是,然后这个也可以支持除了专家,嗯然后专家的呃参与评估,然后也有这种自动化的或者说智能的这种模式,然后在容量方面呢,其实就是可以帮你。测试这个能支持的最大并发啊,其实是也就是避免让你过度过度的采购,然后其实用不上也可以减少这个上线后的卡顿问题,保证服务的质量,然后渗透性呢,测试呢,其实是这个防数据泄露,主要是这个,因为这个呃这个服务的,然后这个嗯,会对这个模拟黑客的形攻击的形式去对小程序做业务检测,嗯,基础诊断还就是基本上就是这个腾讯这个强的强项,对会呃是根据这个。
39:35
呃,小程序特征和运行环境推出的这种专属的这种服务,其实相当相对于那种呃,检测网络安全的这种产品来说,其实更专业也更实用,因为它比较适适配这个小程序的这个环境,然后代码加固我也不提了,就是很专业的一个。这个加密服务。那么第二个就是流量风控,刚才说的是基础产品检测,第二个就是流量,呃,跟大家说一下那个我们的报告,呃,这个可能存在的这个小问题,明天正式发布的版本一定会给大家修复好,所以说大家一定要进群,然后明天等我的正式版。
40:14
嗯,流量风控这个问题就是老生常谈吧,就是因为羊毛党他已经。成为一个比较成熟的高度发达的一个产业链。那么所以。所以他也会带来这个就是属于防不胜防啊,嗯,特别是对于新入场的开发者,然后新的品牌来说。可能要想防范的话,嗯,前期付出的成本也是巨大的。那么羊毛党它通过这这些形式吧,就是。一种是用这个,呃,模拟机,一种是用这个真实用户啊,去薅你羊毛也好,然后这个你的价,然后你的券。
41:01
然后抢占那种。不好意思啊,今天那个沙尘暴太严重了,我有点咳嗽。根据就是用抢占你的这个呃,优惠商品,用这种形式其实给企业带来的损失还是比较大的,那么通过这些服务。嗯,其实可以就是啊。好,那也就是说这个,嗯,通过这些羊毛,这个产业链,通过这些业务,然后去薅企业的羊毛也好,然后这个做流量欺诈也好,伪造的这个虚假的数据牟取暴利啊,至少给我们造成了很多的影响,比如说销售收入损失。然后营销成本失控,这里面还有一个就是那个。用数据失真,因为嗯,羊毛党它通常就是要么就是真的就是只薅羊毛的那种,要么就是就不是真实用户,那其实它掺杂在你的客户列表中,对你的这个数据分析啊,用户洞察是有很很深的影响的。
42:11
而且经常是难以察觉的,那如果你数据失真的情况下,你做出的营销分析和决策,那其实经常是偏离你的实际情况的,那其实这个是隐性,损失可能更大。我们综合看了一下市场上常见的应对策略啊,基本上都是围绕着这个信息啊和模型构建,当然是以防为主的啊,比如说这个动态加密也好,设备指纹也好,然后行为建模,还有包括这个。嗯,IP画像啊,然后机器学习,然后风险名单也好,基本上都是防御型,防御型手段居多啊,当然这个确实也是防御是非常重要的一个环节,因为首先你得先把。嗯,那些假的批量的去掉。
43:04
那么其实另外一种,另外一个层面,我们也看到腾讯安全会有一些产品,其实是能够从正向去帮助我们去区分这个活跃的用户啊,或者说给用户分层,然后其实是能够,嗯,特别是我我认我们认为特别是能区分那种从。介于介于羊毛党跟这个真实用户之间的那一批,就是我只只薅羊毛,其实我对你企业的贡献其实并不是很高啊,但是我又我又得靠你,呃,提升我的这个,嗯,降低我的编辑成本,然后我又得防着你啊,去狠狠的砍我薅我。所以我们认为这个思其实是一个很不错的思啊,就是它可以通过这个用户的呃,一些特征,然后还有生命周期的这个阶段,然后去去甄别这个用户到底是一个什么样子的用户,然后根据不同的用户给你进行筛选,然后呢,其实是可以洞察出一些商机来的,其实他认为如果说羊毛党其实是扰乱了你的数据,嗯,数据池的话,那么其实这个方法其实是帮你从从从这个数据池里面再把那些有用的捞出来啊,如果是这样的的话,其实。
44:19
嗯,双向双向去采取措施的话,其实我们认为效果是更好的。这个就是腾讯安全天域全站风全站式风控系统,然后做的的整体的这个呃,业务模型,然后以及一些客户的案例啊,比如说他帮帮助东鹏特饮,京东,还有哔哩哩哩,四川航空同城旅行,都是帮他们做了一些这个业务场景的一些,呃,实时防护啊,然后。不仅节省了他们的营销资金,然后营销费用啊,其实也是这个,嗯,会有一些这个对,特别是哔哩,比如哔哩哔哩这种的是其实是可以呃,发现一些僵尸粉垃圾广告这种现象。
45:04
可以避免这些现象的。好,最后我们来到了隐私合规,那么隐私合规也是一个嗯,大家非常重视的话题,然后我们梳理一下近年来关于这个呃,个人信息,网络数据和个人信息保护的一些法律法规啊,其实我们发现近两年啊,21年22年其实推出了非常多的这个政策法律法规的,嗯,然后同时这个我们就是这些法律法规的推出,其实其实也是意味着网络数据和个人信息的保护的重要性是持续在升级的,我们也知道现在全球的这个环境,国际环境形势下,其实未来可能这个更为升级啊,就是呃,各国对自己国家的信息数据保护都是。放在至关重要的位置上的。那我们此次的这个专项方案里面也推出了这个小程序隐私合规的检测服务啊,大家可以通过这个引擎检测和专家服务去获得这个自己的小程序,呃,小程序这个隐私合规的检测报告,呃,这个具体的情况嗯,我就不介绍了,我们的那个,呃嗯,上周的推广文章里还有我们的一些解决方案里面都有,如果大家感兴趣的话,可以加我们的社群,然后我们会在群里面发这个关于这方面的这个服务方案。
46:29
好,以上就是我介绍的这个关于小程序安全领域的,我们作为阿拉丁,作为第三方。的一些观察,那我们现在的就是,呃,如果是现在给小程序安全这个建设做一个比较,呃,整体的结论的话,那么其实我们认为还有相当长的路要走,首先刚才已经提到了国际形势上,他就是这个,嗯。现在的这个网络信息和数据安全的关注和要求已经达到了前所未有的这个高度,然后小程序又站在我们国内互联网的移动互联网的C位,那其实刚才也说了,是不管是经营枢纽也好,然后这个还是这个交易承载也好啊,还是这个生活服务场景的提供者,承接者也好,其实他都是,嗯,在几乎就是那个焦点啊,这个安全防护我们也认为是一定要从严和从重的啊,然后其次就是刚才提到的这个平台互通多生态经营的这种情况下。
47:30
嗯,小程序就会以更广泛的形式去承接网民的需求,生活需求,但是另一方面呢,硬件方面啊,就是物联网和车联网,还有智慧社区这种发展啊,其实也是会将来会部分的以小程序作为载体,或者说作为这个呃呃互动互动的这个工具,那么在这种情况下也会产生很多新的接口,或者说是交货,那其中的风险也是我们目前尚不可知的啊,而且肯定未来一定会有。
48:02
那么第三这个,而且是不太容易识别的,就是因为只有发生了你才知道,然后第三就是企业这个自身在完成这个经营目标的过程中啊,对小程序的安全考量也一定会更多啊,不管他是自自己自营,然后还是找第三方开发,待开发代运营啊,包括他做营销,做活动,然后在各个平台上获取流量,然后转到他的私域里也好,然后转到他的商城里也罢啊他既想。获得大量的流量,然后又想规避风险,降本增效,让这个流量尽量有效果,那么在这种情况下,他一他在选择第三方服务,他一定会选择第三方服务,不管是待开发还是运营还是营销,那在这种情况下,他肯定会重点的考虑这个安全的产品与服务啊,你的不管是你能给我,你能给我这个做这种功能上的技术上的防护,还是你能帮我获取更多的真实的流量,真实用户啊,这个都是企业经企业会重点考虑的内容。
49:06
最后呢,我们还是认为。这个嗯,不管是形式啊,嗯,这个经济和社会形式还是啊,企业跟生态的对的关注啊,最终我们认为小程序安全其实是离不开市场教育和行业共建的,就像生态一样,它作为一个生态的要素之一啊,一个生态如果不安全的话,其实我相信大家也不会想进入的啊,那么生态要想让这个自己的生态安全,那肯定是要有自己的标准,那么作为小程序安全肯定应该有它的技术规范和它的运营规范,那么如果小程序安全想要发展,一定要有一套依据啊,不管是法律法规还是我们行业技术达成的共识啊,然后还有最后我们还是要通过市场上的表现去看到,去观察有哪些行业进步了,然后整体上是不是。
50:01
自己在跟着行业的水平同步发展,那么在这四个生态标准,行业规范啊,发展依据和对呃数据对比,那么在这四个要素共同形成的一个自驱自闭的,呃,自自律的这个闭环,实际上是需要我们参与方各方的努力的,然后生态企业,然后包括第三方服务啊,当然也包含我们,所以我们是推出这个嗯,专项方案也好,推出安全指数也好,其实是为了帮助大家,给大家建设一个这个。市场观察与这个行业交流的一个窗口啊,大家可以通过我们这个平台啊,去这个获取小程序安全方面的服务也好,然后共话小程序安全的发展也好,然后观察一下这个市场安全的最新的安全的这个标准,或者说是安全的整体的情况如何啊,给自己一个参照,然后给自己自己给自己打预防针也好,自己给自己这个,呃,这个立标准,然后也好啊,我们是希望建立这么一个平台,然后就像我们当年建立小程序阿拉丁指数一样,希望大家能在这里啊自由的交流,然后这个其实通过大家的共同的努力啊,让更多的这个。
51:17
开发者和经营者及时获取相应的信息啊,然后找到服务也好,找到这个让解决自己的困扰也好,然后最后提升的是我们整个小程序互联网的这种安全防护的能力啊,所以我们认为互联网技术只要一天不停止创新,小程序安全的防护就一天不能停,那我们我们阿拉丁也愿意啊,跟广大从业者共同努力,去营造这么一个安全啊,健康繁荣的小程序的新时代。嗯,好,以上就是我今天的分享,然后下面我们会请到嗯,王雷雷老师,然后给大家介绍一下呃,腾讯安全对小程序安全建设的理解和看法,以及他们在这么多年的这个经营,这个服务中取得的成绩。
52:06
嗯,我看啊,我需要。为啥?结束共享。嗯,蕾蕾老师,嗯,嗨嗨嗨,辉老师,我我在。好的,那能听见我说话吗?啊,可以的,可以的。呃,感谢迎辉老师的分享啊,感谢尹辉老师分享,然后首先先自我介绍一下吧啊,我是那个呃腾讯安全的王雷雷,然后主要负责的是业务安全运营,那小程序其实也是我们属于呃业务安全的一个板块,嗯,那今天呢,我就是给大家去分享一下有关呃数字化业务运营的一些相关的一些产品能力,以及我们过往的一些最佳的这些实践。嗯,那首先呢,其实我们。呃,那首先呢,其实我们呃我先介绍一下腾讯安全吧,因为大家可能对腾讯安全呃可能了解的并没有那么多,那首先呢,就是腾讯安全它有一呃就是我们的一个slogan是说呃我们是致力于成为产业数字化升级的一个安全战略观,因为安全其实作为呃底层的一个核心能力,那是每个企业都不可或缺的,那腾讯安全其实作为这个互联网的安全的一个领先品牌呢,也是。
53:28
致力于成为数字化这个呃,数字化升级的一个安全战略观,那我们其实呃,底层是有20多年的一个业务安全对抗非常的一个经验,那以及我们有很多的这个安。
54:17
啊好,然后那我继续,呃,然后其实腾讯安全呃其实已经融入到社会的各个角落吧,就是不管是呃社会城市还是工作,还是我们的生活,呃那提几个就是腾讯安全的一些呃护航的一些案例吧,比如说像呃大家可能知道广交会,那我们其实已经为广交会护航了四年,那四年的话都是零事故零风险。那同时呢,还有像这种,呃,央视频,然后国庆的阅兵,然后包括以及像春晚等等,其实都是有这个腾讯安全的一些身影在里边。那我们其实腾讯安全已经服务了超过18个行业,然后服务的企业呢,就是超过了呃呃,超过了万家,然后这些企业呢,涵盖了比如说有金融,出行,零售,游戏等等,就是各行各业其实都有我们的申请在里边。
55:17
嗯,那下面呢,就给大家去介绍一下,就是数字化转型的一个重要载体,那其实刚才英辉老师也提到了,就是小程序,那其实我们现在大家也都呃,也都会发现啊,就是小程序现在已经逐渐的成为数字化转型的一个重要的载体,那为什么这么说呢?其实这里边儿呢,我也去列举了有三个趋势吧,然后大家也可以去去看一下,我们共同去探讨一下,首先呢,呃,趋势一呢,就是说小程序的用户数是高速增长的。那如果说看2022年上半年的话,那全网小程序的这个日活呢,其实已经超过了7.8亿,那Q3的时候呢,微信小程序日活已经突破6亿,它同比呢,都是有很高的一个增长,那这是一个用户数增长这么一个趋势。
56:01
那第二呢,就是说呃,是一个平台布局的一个趋势,那我们从这个布局来看啊,首先是啊,微信啊,包括支付宝啊,抖音啊,快手等等,其实都推出了自己的小程序平台,那我们还可以看到呢,就是布局两个及以上平台的企业家就超过了30%。然后有80%的将近80%的商家小程序就同时布局了微信跟支付宝这个双平台,那尤其现在是就是微信的小程序已经成为了各个商家私域的一个主,一个主要的阵地。那第三个趋势呢,为什么说是小程序成为数字化一个转向重要载体呢,我们也可以看到啊,就是小程序的这个场景触达能力是大幅度大幅度增强,然后为每个行业呢都提供这种连接和服务,那尤其呢是在零售,金融和政务这些小程序去尤为明显,那零售的小程序大家可能也会有有所感触啊,那我们现在其实呃购物也很方便嘛,不仅仅是局限于这种电商平台,那我们可能在聊天过程中,我们就可以去去下单。
57:03
那包括像呃在过几年,在前几年,我们在在疫情的时候,那我们的健康码,包括这种健康宝等等,其实呃都是为我们提供了这种很便利的服务,那所以说小程序,小程序的这种就是触达能力是非常强的。那小程序其实逐渐成为我们一个载体之后呢,呃,我们也会发现啊,就是小程序呃,也会有一些问题,那小程序这块的主要问题会会在哪呢?因为其实我们刚才提到了,我们在不管是零售啊,电商啊,其实在各个行业都有布局小程序,那在这些。行业里边经常会出现的问题呢,我们就总结了有大概有四点问题,那第一呢,其实也是在之前提到的,就是营销活动的问题,那一旦说我这个呃,企业去组织这个营销活动,那势必就会有一些呃不法分子或者黑产来去薅我的羊毛,那不管是我的优惠券啊,还是说是我的一些。
58:02
给商家准备的礼品啊,都会被这些非产利用一些技术手段去抢走啊,这是一个问题,那第二呢,就是数据被盗。那由于我们的小程序可能在发展过程中,对于安全的这个呃安全的认知可能还没有像APP那么强,所以对于小程序本身客户端的一些安全防护呢,可能并没有做到呃像APP那么强,所以呃正因如此,那可能就会出现一些问题,那由于我的一些开发过程中一些开发漏洞,可能尤其由于我的一些代码不安全,那导致我的一些核心的数据被泄露,那尤其可能像一些比如说呃交易类的小程序,那我会有一些用户的一些交易的信息,然后交易的这个姓名啊,手机号啊,包括地址等等一些关键数据,然后被窃取。那再有第三个问题呢,就是说我们一个平台崩塌的一个问题,那其实小程序现在因为用的人会越来越多,那。
59:01
一旦有这种大型的,不管是活动也好,还是说这种呃瞬时的一种就是呃抢购的场景也好,那都会导致说我小程序由于呃这个平台不能承载这么大量,而导致说我小程序会有呃崩摊,那导致我无法下单,无法浏览啊,这是我们一个常见的问题。那第四块问题呢,就是一些不合规的那些内容,那不管是我的一些文字,还是说我的一些图片,那由于我的审核的机制,还有我审核的一个标准可能不统一,那导致说我的小程序上会有一些违规的一些内容出现。那同时呢,我们还会发现。就是小程序这块还会有一个问题,就是小程序被防了,那由于小程序这个这个代码你都知道,可能是一些就是明文代码。那明文代码很容易就去被copy下来,那被复制下来之后呢,我们就可以去做一个完全一模一样的一个小程序,那可能我就是挂羊头卖狗肉,那虽然说我可能看都是一样,但是我里边的内容完全不一样,那这里边儿呢,有可能就会导致一些呃消费者用户的一些呃损失,那不管是这种这个个人资产的损失,或者说是一种。
60:21
呃,这个信息的被盗刷等等都会出现这种问题。那同时呢,呃,刚才也讲到了,就是我的一些服务的异常,还有一些我的一些性能的一些问题,或者说我的一些UI显示的问题,都会出现在我这个小程序里边。呃,那刚才介绍了一些,就是小程序的一些常见的一些问题,以及小程序的发展趋势,那其实作为腾讯来说,那腾讯安全呃,能为小程序这个客户端能提供哪些能力呢?然后这块也可以跟大家去分享一下。那这块呢,我们主要是提供了有五大板块的一个能力。
61:00
那首先呢,就是一个是技术防护,那在刚才英辉老师其实也介绍到了,那我们会有一些代码的一些安全。那在代码安全的话,我们这里边儿主要打的是主打的是说,呃,在小程序开发上线之前,那我们先去要先去先要去做的就是我们先要给小程序做一个体检,那就像我们人去做体检是一样,来看我们是否有一些开发过程的一些开发漏洞。那这些漏洞很有可能就会导致我小程序在上线过程中,被一些恶意的黑客或黑产去攻破,那导致我的小程序服务不可用,或者说导致我的一些核心的一些数据泄露。那我们能在小程序上线前去规避这些这些问题啊,这是我的安全的一些扫描,那还有一个就是呃,在技术防护里边,我还会有这个代码加固,那代码加固呢,就相当于是给我的这个小程序穿上了一个呃防弹衣啊保护壳,那那这样的话,其实我们就能有效的去避免一些黑产对我们的小程序的啊接口啊,包括代码去发起攻击啊,做到一个很好的一个防护,那再有一个比如说像渗透测试啊,异常监控啊,其实也都是对我们的小程序业务去进行一个漏洞的发掘,以及这个实时的一个监控,那就是从底层技术上去为小程序做一个安全保障。
62:20
那这是技术防护的层面,那还有呢,就是性能。那因为现在呃,很多的,呃,这个企业也好,包括这种品牌也好,都会把更多的业务都转向小程序端,那所以小程序承载了很多的一些业务。那承载了这么多业务呢,那对它的性能要求就非常高,包括它的这种兼容性。那一旦说举个例子,比如说像这种零售电商行业,那在双十一六幺八的时候,那有一些新款的发售,或者说有一些爆款的发售,那在时间就能涌入大量的这种用户,那如果说这个时候我们小程序没做好高并发的一些,呃测试的话。
63:01
那很容易就会去,就会出现这个,呃,这个性能就是会出现这个小程序崩溃的问题,那这样的话,其实对于客户的体验也不是很好,那对于这个品牌的口碑可能也会受影响,对,然后对于小程序的这个用户量其实也会受影响,对所以说我们在这里边也是能提供这种性能测试,帮助企业去发现我们的一些性能瓶颈。那还有一个就是兼容性的测试,那兼容性测试主要是说,呃,因为现在其实。手机的机型,手机的版本,包括系统的版本都非常多,那如果说我们自己去企业,自己去拿手机去去买手机去测试的话,那其实是一个非常耗时耗力以及消耗这个呃费钱的一个事儿。那所以说我们就提供这种兼容性的测试,然后帮助企业去,你不用去买手机,那我们就是可以可以给你提供这种测试平台,那你可以在我们这个平台上去去测试啊,去发现你有在哪个机型上有一些兼容性的问题。那这样的话,可以帮助我们很快速的去定位,去解决这个问题,也帮助企业去降本增效,节约这种测试的成本。
64:06
那这个就是性能,性能的一个板块的一些能力,那再有呢,就是营销的场景,营销的场景。这个其实就是老生常谈的一个话题,呃,哪块是就是哪个小程序,无论是小程序也好,还是APP也好,只要是有这种呃,优惠福利的地方,那都会出现这种的。那我们能提供的就是这种全场景的,全场景的一个营销防护,那从你的拉新,然后到促活,到这种存量的判断,其实我们都可以去进行防护,那通过对这个用户的呃,身份的识别,账号的识别,以及设备的识别,从这几方面,然后去判断说你这个用户到底是不是一个高风险的用户,你到底应不应该拦截啊,这块也是我们的一个能力。那再有一块就是第四大块,第四大块是我们一个合规监管。那合规监管这一块,这里面呢,我们也提供了针对于小程序的隐私合规检测,那其实刚才也已经提到啊,就是隐私就是隐私合规这块,其实监管单位最近一直都抓的比较严,那不管你是APP也好,还是小程序也好,一旦说你有这种呃合规性的问题,那绝对是要做这种下架处理的,或者是要做通报处理的。
65:20
啊,所以这块呢,我们也可以帮助企业在小程序发布前或上线前,我们给你做一个这种隐私合规的一个体检,帮助你去规避这个下架的一些问题。那在售后这个阶段呢,我们会针对你的这个呃,订单针对针对你的收货人,然后包括你的这个呃退货人等等啊去进行一个风险识别。那以上呢,就是我们腾讯小程序安全的一个算是能力图谱吧,就是从五个方面去进行去进行防护。那下边呢,也给大家去分享一下这个案例吧,然后呃,还是从这个实战的角度去出发,然后大家可能会更容易理解,更容易理解,呃,那这个是一个快销的一个案例,那这个品牌呢,其实在世界杯期间就是组织了一场活动,那这个活动呢,其实还是非常有诱惑力的,就是呃,在世界杯期间每进一个球我都送1000箱奶。
66:15
啊,那在决决赛期间呢,这个送我我的这个奖品呢,会送1万张,而且就是免费送,那这个活动其实相当诱人了,呃,所以就吸引来就是大量的这种黑产啊,包括一些高端的黑产也会也会涌进这个这个这个活动里边。那当时我们就发现呢,这个活动每天的并发有就是量非常大,而且里边充斥这种大量的黑灰产,那同时呢,有一些高端的这些飞,那他可能不仅仅去抢抢我这个抢我这个奶。那同时呢,还会去恶意的去攻击这个小程序的一个一个接口,它这个攻击接口它是无差别的攻击啊,不管你是下单呀,还是说浏览都会攻击你,那所以呢,当时我们就和客户去沟通了这个业务场景以及他的需求,那最终我们其实提供的能力是首先帮助你去拦截这些风险用户,那在微信小程,那在微信小程序里边,其实微信会,呃,就是腾讯会有一些独家的优势在里边。
67:18
我们可以针对于这个微信的一些ID去进行去进行识别,帮助,帮助企业去拦截,那同时呢,我们也帮助企业去提供,呃,这个代码加固的这个能力就是帮助。客户把我们的代码去做一个整体的一个防护,穿了一个防弹衣,那这样的话其实就有效的避免这个呃黑产和羊毛的一个攻击,然后帮助这个客户去这个度过了这个活动,对整体的还是效果还是非常明显的。那这个也是一个快销的一个例子,那在金融的例子,其实现在金融行业大家也可以看到,就是包括我们在日常沟通的时候也会和客户去聊的,就是现在可能很大多数这种金融行业都是呃会把一些呃业务往小程序上去签,那我们大家其实也可以动手去搜一搜,像这些大分就是一些大行,大行的小程序,可能随便一搜就是有几十个小程序,对,然后功能有,不管是查询也好啊,还是说可能会有一些比如说呃办理这种转账也好啊等等,就是业务在逐渐的往小程序上去迁移。
68:27
那像金融行业,它天然其实就是对于呃,小程序这块安全,对于安全这块是非常敏感,就是重视度非常高的,那所以呢。基于这些背景呢,那我们去给这些银行,银行的,呃,金融企业就就去提供了,呃,刚才讲的一些,呃,不管是性能防护还是一些基础防护,那有小程序的渗透测试,帮助客户去提前发现一些开发过程的一些漏洞。那还会去给客户提供一些代码加固,就是给我们的代码穿上一些防弹衣保护一下,那同时呢,还会有这种品牌仿冒,我们会看你到底是不是有一些仿冒的小程序或者仿冒的公众号,那我们也可以通过技术手段去帮你排查出来,说到底有多少个小程序是仿冒的,有多少个公众号是仿冒的,那这些都是我们就是腾讯安全的一些能力,呃,针对于金融行业都是可以,也都是有很多成熟的案例在里边。
69:24
那。金融企业还有一个需求啊,他可能是要做这种私有化,有一些定制化的服务,那这块呢,其实也是我们能满足的,就是我们像小程序的呃,安全的扫描,安全的加固,都是可以支持私有化部署的,这样的话,其实客户就可以去,呃,从与自己的自己的一个系统去结合,那从小程序的开发,然后到小程序检测,再到上线,就可以做成做一个自闭环的这么一个能力。这个是我在金融的金融行业的一个案例。嗯,那还有就是我们在美妆行业,那在美妆行业的话,呃,我们也帮助一个客户去建立了一套这种私有化的风控平台,那其实客户呢,呃是一个美妆的一个外企的一个企业,就是对于呃安全性要求比较高,同时呢,在国内也是发展了这种小程序的业务,那小程序的业务呃就是。
70:21
会呃,就是会在小程序上会倾斜一些营销的资源,那基于此呢,就是客户呢,也想啊为一些真就是企业也想为这种真实的客户去提供这种很好的购物体验,不希望他提供的营销资源被这种非产权广岛去薅走,那所以就当时就找到我们,然后我们就去帮他做了一套这种私有化的一个风控平台,那是呃从这种账号。以及设备层面去帮客户去进行风控,然后拦截一些呃这呃有风险的一些用户,然后同时呢,也会帮助客户合规的去采集一些设备信息,然后帮助客户自己去进行一个二次二次的加工,然后同时呢,我们也提供给客户一个角色平台,那客户客户可以在这个呃这个决策平台里边去制定一些规则,那这样的话可以更好的去呃与自己的业务去贴合啊,去进行这个呃风险的处置与风险的拦截。
71:19
那同时这个品牌其实呃,因为涉猎的业务非常广嘛,还有小程序的一些,还有它旗下有很多的小程序,那不仅不仅仅是在风控这个领域去进行一些合作,那我们还帮助这个客户旗下所有的小程序。都去做一个渗透测试,我们其实和这个企业呃,已经建立了一套这种,呃算是小程序上线的一个标准的一个流程吧,就是说首先小程序可能我不管是服务商开发,还是说你是找的这种多种产品,那你开发完之后,首先需要呃找到这个腾讯,就找到腾讯安全这块,我们先帮他去进行一个测试。那测试完了之后呢,呃,我们会发现一些问题,那这个问题呢,就是服务商会再去修,那修改完了之后呢,我们会,呃,我们腾讯呢,会再进行复测,那复测之后没问题才能上线,就大概是这么个流程,就是保证说我上线到呃这种互联网,就是保证我面向这种客户的小程序都是一个安全的稳定的没有漏洞的小程序,让客户可以就是很放心的在我的小程序去购物,不用担心我的一些比如说信息泄露啊,也不用担心说我这个平台随时会会崩溃等等。
72:34
嗯,那还有除了像刚才介绍的一些行业,像我们一些政务的行业,呃,就是在最开始也提到了嘛,就是小程序,其实在政务这个,在政府这个行业其实渗透也是很多的,那我们其实也是给很多的,呃呃,这个省的这个健康码去提供了这个安全的防护啊,比如说像福建健康码,黑龙江健康码,还有贵州啊等等,其实我们都是为他提供了啊渗透测试。
73:01
包括安全加固的一些能力,那其实应用的场景跟我刚才讲的一样,就是在我小程序发布之前,这个都是要经过我们的一个检测,检测之后没有漏洞了再去上线,那上线的时候你再跑的时候,我们都会一直去穿着这个防护衣,也就是我们的一个安全加固这个能力。对,然后以上呢,呃,就是腾讯安全针对于小程序安全,呃,就是针对于小程序这个安全的问题的一些分享一些案例的,感谢老师的分享。啊,然后嗯,刚才刚才刚开始也没跟你交流,就是我们终于时隔一年又再度开启二次直播。嗯,那个这样吧,我刚才雷雷老师讲的时候,我们在后台也收到了很多开发者的问题,然后结合我们之前,呃,根据这个呃,这个活动邀约的时候收集到的一些问题,我们汇总了总共有六个,然后下面就是我们的互动环节,大家如果还有什么问题的话,也可以及时的留言,我们会实时的补充,嗯,然后这六个问题我看大部分应该是由蕾蕾老师才的专业程度才能解答的,所以这个我就依次,呃先问一下,我依次代表代表这个,嗯,同学们问一下,然后第一个问题是,嗯,腾讯安全产品啊,相对于其他的不管是第三方服务还是其他的平台的服务有什么优势?
74:32
嗯,啊,明白明白是这样,其实呃,因为刚才讲到这个小程序嘛,就是。在小程序生态里边,其实腾讯是有独家的一些呃风险识别的一些呃能力,比如说像可能呃有一些可能其他的一些企业,我能针对于手机号去进行识别,但是其实程序能做到是说我能针对除了你手机号之外,我还能针对你的这个呃小程序的open ID去进行识别,对然后还有包括像呃这种基础安全,比如说像扫描啊,渗透测试啊,其实我们都是会这个独家适配微信这个小程序这个框架,就是这个适配性,包括稳定性,兼容性等等,其实都是呃都是要比其他要要强的。
75:19
OK,好,还有就是专家的优势,我觉得嗯,那个关于微信生态应该是你们是更了解的,所以可能给到的服务也是更专业的,是我们因为像所有的服务其实都会有这种专家一对一的服务,包括我们内部也会有一些,呃,算是专家交流分享吧,就是我们会把一些能常见的一些风险或者一些问题,内部会做一些交流,交流完之后呢,会形成这种方法论,然后去对外去做一些输出。OK,好,那相比之下我觉得还是,嗯,很有很有,有一些优势还是别加,基本上无法企及的好,那么第二个问题,呃,这个用户,这个这个用户跟我想的有点相似啊,他说呃,有一些用户他看起来啊是羊毛党,他平时就薅羊毛,但是呢,他也会会像有正常用户,就是会也也会像一个正常用户一样,就是它介于羊毛党跟正常用户之间,那么如何就是对他们采取措施,既限制福利。
76:21
影响转化。嗯嗯,明白,然后首先其实我会从一个大的角度去说,就是因为这种问题我们也很常见嘛,就是我既要说我做到很好的去拦截,同时我还要保证我的一个转化率,那这块其实我们和每个客户都是做这种陪跑,那陪跑指的是说呃。一个客户来接入,接入之后我们会用我们的标准模型去和客户去跑,那跑完之后客户肯定会有一些反馈,不管是正向反馈还是说这些负向反馈,那我们都会和客户去进行这个样板去调优,那调优的目的呢,就是说去把这些可能疑似用户,我们再去做一些深入的分析,那看看他到底是一个说我们对于企业来说是可以拦截的用户,还是说是可以放过的用户,那我们去可以和客户去进行一个这种。
77:10
多次沟通,那最终呢,达到说这种就是转化和安全的一个平衡的这么一个效果,对,然后同时呢,可能每次由于活动的,呃,这个这个这个活动的内容不同,可能它的一些模型也会不同,所以说我们会针对于每次活动都会进行这个针对性的调整。OK,那也就是说非常灵活的一种,呃,一对一的这种服务的形式,对的对的,我们会针对每个客户都提供这种一对一的服务,然后进行模型的调优优化,然后最终达到的目的就是说我们可以长期的服务这个客户,能达到客户满意的一个效果。OK,好好问一个跟钱有关的问题啊,这个这个开发者问说小程序安全检测多久做一次合适?好呃,我们建议这样,就是说,因为可能考虑到这个成本的问题,因为大家现在都在讲降本增效嘛,所以我们建议是说。
78:05
呃,如果说我们成本有限,那我们可以建议是说你一年可能一定要就是在做两次吧,这种上面一次,下面一次做两次,这种大的就渗透测试。那除了渗透测试之外,因为渗透测试会有一些人工的服务嘛,而且我们的检测项会比较多,那除了像渗透测试之外,像一些可能我一些小的活动,或者说一些小的版本更新迭代,那我们可以就用这种自动化扫描的这种方式去进行覆盖。对,就是这样的话,能保就能保证说我们做到一个安全和这个收入这个这个成本的一个平衡,嗯嗯嗯,好的好的,那这个问的问这个问的人还比较多,我们会一一回复他们,嗯,第五个问题是,呃,腾讯安全检测过的小程序啊,是不是我就可以迁移到平台上,也也是合规的。嗯呃,他这样就是说,呃,因为因为很多就是因为小程序它是不限制,说你必须比如说不管你是腾讯云还是阿里还是华为云啊,这个就是是没有限制嘛,但是我们其实在检测的时候,是针对于小程序进行检测,然后检测完之后,呃如果说呃,因为这东西安全这东西吧,我也不敢说说的特别死,但是我们目前检测过的客户,就是用了我们深度检测的客户都是没有问题,都是都是没有出现过问题的。
79:25
那那好,那这个对于开发者来说是很经济的,我检测一次,如果在其他平台上需要,呃,使用的话,我直接用就好了,嗯,对,就可以迁移嘛,这块都是没问题,OKOK啊,这个是个大福利,对,然后第六个问题,嗯,阿拉丁的这个专项方案,我们包含了哪些服务?呃,专项方案应该是有两两两大部分,一个是呃这个基础的一些安全,比如说刚才说的这个扫描啊,加固啊,包括渗透测试啊,就是人工服务,就是针对于我小程序客户端的一些检测,那再有一个呢,就是业务端的一些检测,业务端的检测,比如说这种,呃,防薅羊毛啊,包括这种。
80:09
可能压测监控测试啊等等,其实都是包含在里边。OK,好,对,算是还是挺全面的,就是业务安全,整体的这些安全产品还是应该基本上都在这里要配包是吧?对对,嗯,好的好的,还有一个问题啊,这个问题应该我来回答是阿拉丁的安全指数,呃,如何接入啊,对,刚才我已经讲过了,然后再重复一下,就是呃,你参加我们的这个呃,腾讯阿拉丁跟腾讯联合出的这个专项呃服务方案,然后获得你的小程序检测得分之后,然后联系我们,我们会给到你在这个周期内的呃指数测算的结果,然后可能一些行业相关的数据也会呃同步给你,包括这个报告里面展示的一些内容啊,当然因为我们现在这个安全指数产品,它只是在这个后台运作的一个阶段,未来我们会推出。
81:01
这个相应的这种安全指数榜单,类似于我们阿拉丁指数的榜单,然后这个开发者和企业就可以,嗯,经营者可以通过这个榜单啊,通过我们这个阿拉丁指数这个平台啊去获得相应的信息,然后当然如果你还需要做检测的话,也可以再通过我们这个平台啊去去继续使用这个我们的专项服务方。嗯,好了,我看目前就这些问题了,然后目前还没有其他,呃,开发者提出新的问题,然后蕾蕾老师你这边还有什么需要总结和补充的吗?嗯,我这边反正就大概说一下吧,因为其实刚才已经强调过很多遍了,就是小程序,现在大家其实都都在慢慢的把一些业务转到小程序上,而且其实呃,从这个安全性来讲吧,就是安全这个事儿呢,可能我我觉得就像空气一样,就是他在的时候,你可能不觉得有什么,但是他一旦说不在的时候,你就会觉得影响很大,那可能你就会对你的一些业务造成非常大的影响。
82:00
所以说安全这个东西呢,我觉得大家也可以去去去深入的去考虑一下,那呃不管是说呃说不好说,说说就是说一句比较俗的话吧,就是有多大有有多少钱办多少事儿吧,但是这个事儿呢,你还是需要,就是最好还是需要办的,因为他可能从收益的角度来说,你可能并不能,虽然说能看到直观的钱收进来,但是确实是能帮助你去规避一些风险,或者降低一些损失的。好的好的好,有一个新的问题,我们腾讯安全的服务在哪里购买?哦,我我我来回答吧,这个一个是通过我们的阿拉丁指数官网,然后有一个呃小程序安全,然后进这个栏目的话,你可以看到关于这个项目的介绍,然后呃在阿拉丁统计平台上也有相应的板块,是专门有一个呃安全检测的一个服务的那个,呃这个指示的那个栏目的按钮,然后通过那个点击也可以,然后如果您两个路径都没有找到的话,欢迎加入我们的社群,然后问提问我们的这个小助手会告诉你在哪里去呃采购这样的服务。
83:10
好,那没有别的问题的话,那我们今天的直播就先到这儿。大家后续有问题的话进群,然后可以问,如果需要的话,我们再邀请蕾蕾老师做更多的分享,好好,我们感谢雷雷老师,好的好的,谢谢大家,谢谢大家时间,嗯,好好,那就这样,好,嗯,好,再见。啊,好,再见再见。
我来说两句