小程序安全建设与发展洞察报告

序言 随着移动互联网进一步发展、生态建设全面展开，小程序步入多元化功能、多场景适配和多平台服务的新阶段，业务复杂度提升、全域营销兴起，更多第三方服务的加入为小程序增添繁荣景象的同时也带来更多风险。 在意识层面，小程序安全应当覆盖从开发到上线再到运营和迭代的全周期。然而实际情况下企业往往出于成本、时间、难题攻坚等条件限制降低了对小程序安全的要求，以至于后期出现各种问题，造成巨额损失。近年来在政策规范和行业引导下小程序领域整体全意识有所提升，但风险意识教育和行业规范自律方向仍然需要全体参与者持续定向投入。 作为小程序发展的“基地”，生态侧的影响首当其冲。据阿拉丁研究院了解，各大平台对小程序安全的引导和约束分为两类：一类是以微信和支付宝为代表的产品模式，通过官方小程序安全检测服务提前预防，一类是以抖音、快手、百度为代表的评级模式，通过评分产生干预作用，此外第三方市场也提供了大量的安全产品和服务，帮助企业解决开发、运营和营销中的各种问题。 尽管如此，小程序安全的现状仍然有大幅提升空间。阿拉丁通过自有的安全指数测算发现，���个样本中��.�%的小程序处于����-����分的中等水平，满分小程序仅有�个；超过�成的小程序至少有�个风险，接近��%的小程序同时存在高、中、低三类风险，反编译能力（小程序代码是否具备反编译能力）和环境安全（小程序使用环境是否存在问题和风险）满分率仅有�.�%和�.�%，是大多数小程序的薄弱环节。 如何在经营条件允许下尽最大努力做好小程序安全防护？为此阿拉丁联合腾讯安全推出了“企业级小程序安全系列专项方案”，专项方案立足小程序安全行业现状，基于腾讯��多年风控实战经验沉淀，依托腾讯海量业务构建的智能风控体系，为企业应用安全合规保驾护航。同时阿拉丁还推出了小程序安全指数，帮助市场观察和参考行业动向，进行市场宣传教育。 互联网技术创新不止，小程序安全防护不息。在平台互通，多生态经营场景下，小程序未来将以更广泛的形式出现在网民生活片段中，另一方面物联网、车联网、智慧社区的发展也将带来新的安全挑战，国际形势更是不容忽视，网络、信息和数据安全将达到前所未有的高度。 小程序安全任重道远。 小程序安全建设与发展洞察 03 目录 小指程数序分安析全 0102 小市程场序现安状全 防小护程核序心安场全景 生序安态全建建设设加面速临，更小多程挑序战站上移动互联网C位；多平台布局、多方协作扩展业务复杂度，小程 手机厂商 使户用信运息营安工全具防用护 业业务复务杂运度提营升 用反营作销弊工具营销 搭推建全广域营链路销使 小程技序术功能开多发元化 品小牌程开序展多矩平阵台服适务配 小生程序态与服生务态交 互第三生方态工内具组服件务服务 华华为为H生ar态monyOS 原子化服务 微信生态 微信小程序 鹅盒 QQ小程序 蚂蚁生宝态 小程序 快手生态 快手小程序 抖音生态 百度生态 百度智能小程序 手机厂商系小程序 ���小程序���知语 ���生态 网易生态 网易云音乐小程序 美生团态 小美程团序 阿生里态 轻店铺 京生东态 小京程东序系 小生红态书 小红程书序 资料来源：《����年度小程序互联网发展白皮书》，阿拉丁研究院 �� 小程序安全建设与发展洞察 字小节游小戏程序 营销能力拓展，小程序肩负全域经营枢纽重任，多层接口与工具联通对安全防护提出更高要求 APP 自建平台门店 内容平台抖音B站 搜索 信息流 数据驱动经营 分享裂变内 活动参与社群/粉 活动转化容种草私域营销、会员服务 广告投放 KOL/KOC 快手小红书 社交平台微信知乎 太阳码推荐 平台运营 丝团 小程序 自媒体 个体经营者 微博豆瓣 电商平台天猫淘宝 外链功能页 企业服务直播间 商业能力版图 小程序 内容号 组件链接 企业组织 生活服务 拼多多京东活动 互选合作带货分销 生态营销 品牌曝光 全域推广 平台支付宝 垂直平台 资料来源：《����年度小程序互联网发展白皮书》，阿拉丁研究院 流量获取场景营销会员沉淀 企业数字化 增购复购 小程序安全建设与发展洞察�� 服务场景丰富，小程序成为基础应用，个人信息安全成为发展标配 780万+全网小程序数量 8亿全网小程序DAU 12.6次小程序日人均使用次数 出行票务 视频 网络购物 生活缴费 家政 挂号就诊 拍摄剪辑 课程培训 政务办事 旅游 政务公益健康 健身养生 线下零售 餐饮 共享充电在线文档 健康助眠 游戏 �� 游戏 视频 工具生活服务 01234567891011121314151617181920212223 资料来源：《����年度小程序互联网发展白皮书》，阿拉丁研究院 小程序安全建设与发展洞察 外卖点餐 物流快递 完五大善维的度小程序安全涵盖从开发到经营的方方面面，涉及代码、内容、用户信息、数据、业务 ·流量反欺诈 ·业务安全 营销反作弊 开发安全 ·账号风控 数据防篡改 数据安全·数据治理·数据加密· 内容安全 ·图文检测·音频检测·视频检测 ·代码防护·代码规范·测试保密 用户安全 �� ·注册保护·身份验证·隐私保护 小程序安全建设与发展洞察 小程序安全建设知易行难，需要行业多方共同努力践行 企业由于各种原因在开发环节就留 下安全隐患，加之上线前缺少全面 检查，导致安全问题发生，影响经 营效果。 技术能力不足 开发质量 开发预算有限 低价诱惑交付粗糙 代开发服务转包 模版小程序缺乏稳定性 开发排期紧张 …… 基于业务需要，小程序不可避免地 与与生态、第三方服务器的业务逻 辑发生交互，这也是安全最薄弱的 环节。 API不符合规范 订单盗刷 …… 交互保障 用户信息泄漏 其他信息安全 支出成本 合理的安全维护支出性价比高的检测产品 资料来源:市场公开信息，由阿拉丁研究院整理 风险意识 以经典案例开展安全教育以技术分享普及安全能力 行业规范 营销活动需要企业大量支出成本， 是流量作弊和黑产套现重灾区。缺 少安全措施会导致浪费大量资金而 效果大打折扣的双重损失。 营销效果 恶意注册 恶意刷券恶意下单 …… 频繁登录 网赚刷单薅羊毛 �� 基于共建理念的安全意识客观公开的评比参照标准 小程序安全建设与发展洞察 在为手政段策的监驱管动与方生式态约束下，小程序安全建设逐步形成以规范为基础、以安全检测和评级服务 小程序安全诊断 分基为础基安础全、诊性断能和测深试度、诊营断销两风种控方、式流，量提反供欺小诈程等序安小全程服序务运营规范 包范、含主注体册规提范交、规行范为、规基范本、信信息息规内范容、规功范能设置规 小游戏特别规范 小程序运营规范 包范、含行注为册提规交范规、范信、息基内本容信规息范规、范内、嵌功网能页体规验范规、用小户程隐序私等和级数据规范 分违为规行A/为B构/C成三个等级，由质量分、性能稳定性和 小游戏特别规范 小程序运营规范小程序设计规范 小程序评分 小程序安全检测 小程序审核规范从验评性分能报维告度及对对小应程优序化运建行议进行实时分析，生成体开据泄放漏平等台安提全供风安险全检测服务，检测系统漏洞、数 小从内程容序安信全用、分内容侵权、功能滥用、行为违规和小垂类程规序范评�价个体板系块 分能完为备设性S/、A/使B/用C/体D验五度个和等经级营，行由为内规容范丰构富成度、功 资料来源:市场公开信息，由阿拉丁研究院整理 小程序运营规范 程序UI规范 包代含码注包册提信审息规规范范、、信基息础内信容息规范、功行能为体规验范规、范可、用服性务与规完范、整技性术规实范现、用规户范隐、小私程和序数支据付规规范、范用、户小 小程序运营规范 包其他含通小用程管序理准规入范规范、营销规范、行业管理规范、 小程序安全建设与发展洞察�� 小程序安全成为生态共建共享的重要环节，第三方视角提供更多服务 阿企业拉应丁用联安合全腾合讯规安保全驾推护出航“。企业级小程序安全系列专项方案”，立足于小程序安全行业现状，基于腾讯��多年风控实战经验沉淀，依托腾讯海量业务构建的智能风控体系，为 20+年 安全防护经验 10亿级 用户安全防护 1000PB 云计算数据规模 鉴行别为虚和无假流会量，，发现提异升常私 域运营效率 海量内容实时审核，智能分析降低成本，规避风险 保障大促活动，抵制黑产侵害，修复安全隐患，优化业务系统 人性户流问失题困导扰，致专的业负报面告体，验减，少解兼决容用事对羊后毛修党复说渗止透损NO，全中链防路御安拦全截服，务， 互联网业务 新零售业务 社交/直播/视频 旅游出行业务 游戏业务 小程序安全建设与发展洞察�� 参获与得检安测全，指接数入及指排数名小程序安全检测 获得指标得分 计算指数得分 参与指数排名 阿拉丁小程序 数据参照 风险扣分 安全指数 风险等级 安全衰减 风险个数 迭代更新 检测周期 �� 数提据升参安考全，防查范漏能补力缺 市场观察 行业对比 第三方背书 安程全序检安测全 使用安全 账号安全 业务安全 阿拉丁推出安全指数评估模型，助力小程序安全普及，促进安全意识进阶 小程序安全建设与发展洞察 03 目录 小指程数序分安析全 0102 小市程场序现安状全 防小护程核序心安场全景 阿拉丁小程序安全指数测算说明 参与安全指数测算的小程序行业分布 品牌零售�25 金融理财�2 工具软件5� 本地生活�� 电商102 小程序安全建设与发展洞察12 小程序安全指数测算规则 房产�� 教育�� 新闻政务�� 汽车�� 医疗健康�� 旅游旅行�� 游戏�� 物流�� 社交�� 体育健身�� 公益� 阿共计拉丁11安个全细指分数项评目测范围包含程序安全、账号安全、使用安全、业务安全和潜在风险5个维度 评估维度 细分项目 检测内容 权重 程（序25安%）全 代码安全 小程序是否存在编码规范、逻辑缺陷等问题 15% 反演译能力 小程序代码是否具备反编译能力 10% 账（号25安%）全 权限规范 小程序是否存在未鉴权访问、越权访问风险 15% 身认证安全 用户隐私信息、口令等信息泄露风险 10% 使（用30安%）全 信息安全 小程序是否存在key/token泄露、api规范风险 15% 环境安全 小程序使用环境是否存在问题和风险 15% 业（务20安%）全 风险数类量型及 运营安全 小程序是否存在运营管理相关信息泄漏风险 10% 内部信息安全 小程序内部邮箱、IP、域名等硬编码风险问题 10% 高风险 高风险个数 额定减分 中风险 中风险个数 额定减分 低风险 低风险个数 额定减分 文娱�� 参与安全指数测算需使用阿拉丁与腾讯安全联合推出的“企业级小程序安全系列专项方案”进行检测，并根据算法获得基础得分 将周期内参与指数测算的小程序基础得分进行排序并归一化处理获得指数 小程序安全指数的最高分为10000分，仅代表相对安全程度，不代表绝对安全 数据来源：阿拉丁指数平台（www.aldzs.com） ���个小程序安全指数平均得分����分，����‒����分段占比��.�% 975个 小参程与序测数算量 6314分 安平全均指得数分 6250分 安中全位指数数 37.8% 36.4% 阿拉丁小程序安全指数分布 12.3% 0.1% 1.0% 3.9% 6.3% 1.3% 0.7% 0.1% 10000分9000分段8000分段7000分段6000分段5000分段4000分段3000分段2000分段1000分段 数据来源：阿拉丁指数平台（www.aldzs.com） 小程序安全建设与发展洞察 13 物既流有、满教分育标、杆金，融也等有领低域分平产均品指数较高，品牌零售、旅游旅行、文娱小程序安全水平良莠不齐， 小程序安全指数分值结构（行业对比） 类型 10000分 9000分段 8