通常情况下,未加固的小程序代码标识符通过字符串明文表示,未经压缩且未采用控制流扁平化处理,数据结构清晰,易于破解。当小程序面临被逆向破解风险时,若代码未经过混淆加密,极有可能导致代码泄露,造成企业商业利益和知识产权受损。WeTest为小程序提供灵活的多层次的安全保障。支持国密算法,通过对HTML和Javascript进行加密服务,实现防调试、防逆向、代码混淆等多项保护措施,提高攻击者分析小程序代码逻辑的难度,从而保护小程序安全。
WeTest小程序加固所采用的国密算法加固,为用户的小程序提供更为合规的安全防护。国密算法是中国国家商用密码算法的简称。国密算法下的SM2/SM3/SM4算法被全球工业界和学术界认可在现阶段是安全的密码算法。腾讯TSM目前已取得国家密码管理局的商用密码认证,满足强监管行业加密合规的监管要求。在国密算法下,小程序加固后对性能方面的影响显著降低,保证小程序安全的同时依然保证小程序运行时的流畅体验。
安全防护和性能兼顾
WeTest通过国密算法增加不法分子破解难度和攻击成本的同时,兼顾小程序的运行效率和体积,减少由于小程序响应缓慢导致的用户流失。WeTest小程序安全加固服务致力实现代码安全与代码体积之间的平衡。根据加密需求,客户可以灵活选择不同等级的加固方式。基础版(三等级)加固服务基于WeTest公有云SaaS平台,包含12项加固项,客户可以在线对小程序所有js文件进行一键批量加固,屏蔽部分代码,以低成本快速高效完成加固操作。对于涉及支付相关业务的小程序,WeTest推荐 专家版(五等级)加固服务。相较于基础版加固,专家版加固包含针对支付、金融相关场景的众多加固项目,深度保障代码安全。同时,客户可以根据需要,通过命令行工具对代码进行灵活的自定义层级加固操作,平衡代码安全与体积。WeTest也提供小程序专家版(五等级)加固的私有化平台,满足大体量小程序的加固需求。
代码膨胀率表现优异
WeTest小程序加固可显著降低由于代码膨胀导致的的用户接入成本上升。既往实测数据显示,WeTest小程序三级加固的平均膨胀率约为1.31倍,四级加固约为1.58倍,五级加固约为1.6~4倍。依据Google V8 Benchmark中的Octane测试套件评估,经过WeTest小程序三级加固后的小程序,性能几乎无下降,且其性能评分领先于众多经其他模式加固后的小程序版本。
金融级小程序加固强度
在加固强度上,WeTest小程序加固通过加密字符串循环错乱排序、代码压缩和控制流扁平化处理等技术,显著提高代码安全性,使其不易被破解。在WeTest既往的服务案例中,不乏对代码安全性要求极高的金融小程序。以某互联网金融客户为例,其小程序为用户提供线上开户、账户管理、存款、理财、信贷和支付等服务,包含大量用户的个人信息、交易记录、资产状况等敏感信息。出于对产品业务、版权和敏感数据的风险抵御意识,客户决定对其小程序采用WeTest专家版安全加固服务。
【加固前】
【加固后】
金融行业的代码数据始终是黑灰产的重点攻击对象。通过破解正版小程序获得重要算法模型、代码库等核心数据,二次开发后进行非法销售是典型的黑灰产获利手段。由此导致的代码数据泄露将导致知识产权被侵犯,企业竞争力降低。此外,敏感信息、核心算法逻辑等内容的泄露,也会导致用户财产安全风险。广告、恶意病毒、支付异常等问题,将严重影响用户安全与体验。在该次服务中,WeTest专家团队在客户指定的行业SLA标准下,隐藏混淆其小程序代码,使其反编译难度提升,并将代码膨胀率控制在23%,领先于友商加固结果,获得客户的高度认可。
“开箱即用”的兼容性
WeTest面向主流的小程序开发者提供“开箱即用”产品服务,相对缺乏安全技术储备的开发者无需再投入精力、资源深入研究开源的加固工具。WeTest代码加固在虚拟化的同时兼顾小程序运行时兼容性,对小程序支持的语法做了最新的兼容,比如分包引用,云函数,云版本控制文件,代码块,node_modules编译后的包等均有定制保护。工具兼容性表现优秀,通过Top300+主流机型正常运行验证。
作为WeTest小程序安全系列服务的传统优势项目,小程序安全加固具备以下服务亮点;
*目前仅专家版本支持国密算法;专家版加固及私有化加固平台暂不支持公有云提测,如有需求请联系客服。
了解更多小程序安全加固服务细节,欢迎前往小程序安全加固产品页,或咨询WeTest客服。