客户案例研究：专家安全扫描，守护金融银行小程序安全和私密性

一、综述：

WeTest私有化部署的定制扫描平台让该金融银行客户能无成本接入扫描系统并迅速上手使用。APP内的小程序商户能方便快捷地根据定制手册进行自助扫描，根据生成的扫描报告，详细洞察漏洞，快速识别并准确定位问题根源。

二、客户介绍：

该客户为某知名银行，旗下拥有使用量级很高、覆盖多种生活场景的综合类APP。用户可以通过此APP进行支付、转账、乘车等活动，并且在该APP上寻找各种商家优惠，因此APP上汇集了诸多小程序。在此业务场景下，该APP内的小程序安全显得至关重要，需要每个小程序上线前、迭代前要确保不存在安全隐患，才能更大程度保障用户的资金和信息安全。

客户意识到如果内部拥有贴合业务的扫描平台，既可以保证扫描环境的安全和私密性，又可以最大限度的匹配业务，便可解决眼下的难题。客户对比多家友商产品后选择了WeTest私有化定制扫描平台。

三、业务痛点：

• 金融行业安全要求高：由于金融机构处理的是用户的资金和敏感信息，因此必须确保数据的安全性、隐私保护等问题，客户需要一套足够安全且独立的系统接入自有平台，支撑其业务运作。
• 自研小程序框架扫描适配：客户的自研小程序具体的开发语言和技术栈与常见小程序有所差别，扫描和修复建议也需要适配相应的框架；后续扫描系统可能需要随着框架的维护更新进行迭代。
• 小程序商户自助检测难：客户平台上的小程序众多，且小程序商户对信息系统的理解水平不一。因此需要足够轻便、使用难度尽可能低的扫描平台供商户使用。
• 安全学习成本高：客户没有足够的安全人员和技术水平进行扫描系统的开发、部署和后期维护，需要一套能无痛接入且不需要自行维护更新的系统。

四、WeTest解决方案：

• 定制私有化扫描平台：WeTest安全团队与客户进行深入沟通，了解业务特性后，将扫描平台的系统均作了相应改造，完全适配私有客户环境，对接其账号系统，计费系统和权限系统，具有高扩展性。
• 扫描功能适配升级：WeTest为客户定制了一套符合其业务场景的小程序安全扫描系统，支持对微信小程序、H5、Web，以及客户自建小程序框架进行安全扫描并输出报告。在研发环节，采用高性能的扫描引擎，通过内核级优化，实现了快速、稳定扫描。我们采用创新的无损扫描技术，扫描过程中采用的检测手段，均不会对应用产生任何异常干扰，确保客户业务持续健康运行。
• 专家驻场部署开发：为了确保业务数据完全隔离，不会通过互联网与外界进行数据交换，因此不易受到网络攻击或数据泄露的风险，满足客户的高保密诉求。WeTest安全专家长期多次驻场支持，在客户现场进行环境部署、联调及内部测试，投入试用，全方位满足客户安全需求。
• 高标准部署环境：由于金融业务特殊性，WeTest根据客户需求定制准备了高标准的环境，包括客户端软件和服务器软硬件。

客户端软件要求：

服务器软硬件要求：

• 专属商户使用手册：由于客户平台的小程序商户众多，WeTest根据其小程序商户类型和实际进驻流程，为客户提供了平台小程序商户可自助使用的扫描系统使用手册，方便各种小程序商家均能自主进行安全扫描，排除安全隐患。
• 长期维护更新系统：网络安全威胁不断演变，WeTest的安全检测技术和漏洞修复建议持续更新。因此我们为客户提供了长期的维保服务，当系统出现问题或需要更新时，WeTest安全人员能迅速响应，提供有效的解决方案和技术支持，确保系统的正常运行。

五、业务结果：

• 客户上手无成本：WeTest团队驻场部署、调试，交付的系统可直接使用，客户无其他困扰。平台附赠完整的用户操作手册和安全团队的操作培训，客户无需专业的安全技术人员参与就能快速上手使用，便捷易用，大幅降低了人力开销及技术学习成本。
• 7*24小时小程序安全检测：客户7*24小时随时可进行小程序安全检测，在某些紧急或特殊的场景下，亦可及时获取安全扫描结果，实现对小程序安全问题的快速发现与修复，节约时间成本。
• 洞察漏洞及修复建议：客户可以在私有化平台上，轻松通过【配置代理-流量录制-扫描-查看报告】流程得到其小程序的安全扫描报告。报告中有安全专家针对每种漏洞定制的修复策略，并可精准定位风险位置，给客户的漏洞修复提供很大的帮助。
• 报告示例：

六、使用的WeTest产品或服务：

小程序安全-渗透测试

七、客户评价：

WeTest团队为我们银行定制的扫描系统高效性又有用。通过私有化部署，我们可以更好地保护银行客户的数据隐私和安全性，同时定制化的服务也更符合我们的系统需求。感谢WeTest团队的专业服务，帮助我们提升银行客户小程序的安全防护水平，让我们的业务更加顺利和高效。