国密算法五级小程序加固，兼顾反破解能力与流畅体验

• 用户信息泄露：小程序中存储的用户隐私信息，如手机号码、身份证号码、地址等遭到不法分子盗取、甚至恶意使用，为用户和企业造成巨大的经济和声誉损失。
• 核心代码盗用：意图山寨仿冒小程序的攻击者通过盗用核心代码，伪造小程序，不仅导致用户流失，还可能会破坏原小程序品牌市场形象。
• 接口暴露：攻击者利用前端代码中大量暴露的接口漏洞，在小程序中薅羊毛、非法获取优惠券或积分；插入病毒、广告或恶意代码，影响小程序正常功能；骚扰用户，甚至引导用户至非法网站，造成经济损失。

通常情况下，未加固的小程序代码标识符通过字符串明文表示，未经压缩且未采用控制流扁平化处理，数据结构清晰，易于破解。当小程序面临被逆向破解风险时，若代码未经过混淆加密，极有可能导致代码泄露，造成企业商业利益和知识产权受损。WeTest为小程序提供灵活的多层次的安全保障。支持国密算法，通过对HTML和Javascript进行加密服务，实现防调试、防逆向、代码混淆等多项保护措施，提高攻击者分析小程序代码逻辑的难度，从而保护小程序安全。

WeTest小程序加固所采用的国密算法加固，为用户的小程序提供更为合规的安全防护。国密算法是中国国家商用密码算法的简称。国密算法下的SM2/SM3/SM4算法被全球工业界和学术界认可在现阶段是安全的密码算法。腾讯TSM目前已取得国家密码管理局的商用密码认证，满足强监管行业加密合规的监管要求。在国密算法下，小程序加固后对性能方面的影响显著降低，保证小程序安全的同时依然保证小程序运行时的流畅体验。

安全防护和性能兼顾

WeTest通过国密算法增加不法分子破解难度和攻击成本的同时，兼顾小程序的运行效率和体积，减少由于小程序响应缓慢导致的用户流失。WeTest小程序安全加固服务致力实现代码安全与代码体积之间的平衡。根据加密需求，客户可以灵活选择不同等级的加固方式。基础版（三等级）加固服务基于WeTest公有云SaaS平台，包含12项加固项，客户可以在线对小程序所有js文件进行一键批量加固，屏蔽部分代码，以低成本快速高效完成加固操作。对于涉及支付相关业务的小程序，WeTest推荐 专家版（五等级）加固服务。相较于基础版加固，专家版加固包含针对支付、金融相关场景的众多加固项目，深度保障代码安全。同时，客户可以根据需要，通过命令行工具对代码进行灵活的自定义层级加固操作，平衡代码安全与体积。WeTest也提供小程序专家版（五等级）加固的私有化平台，满足大体量小程序的加固需求。

代码膨胀率表现优异

WeTest小程序加固可显著降低由于代码膨胀导致的的用户接入成本上升。既往实测数据显示，WeTest小程序三级加固的平均膨胀率约为1.31倍，四级加固约为1.58倍，五级加固约为1.6~4倍。依据Google V8 Benchmark中的Octane测试套件评估，经过WeTest小程序三级加固后的小程序，性能几乎无下降，且其性能评分领先于众多经其他模式加固后的小程序版本。

金融级小程序加固强度

在加固强度上，WeTest小程序加固通过加密字符串循环错乱排序、代码压缩和控制流扁平化处理等技术，显著提高代码安全性，使其不易被破解。在WeTest既往的服务案例中，不乏对代码安全性要求极高的金融小程序。以某互联网金融客户为例，其小程序为用户提供线上开户、账户管理、存款、理财、信贷和支付等服务，包含大量用户的个人信息、交易记录、资产状况等敏感信息。出于对产品业务、版权和敏感数据的风险抵御意识，客户决定对其小程序采用WeTest专家版安全加固服务。

【加固前】

【加固后】

金融行业的代码数据始终是黑灰产的重点攻击对象。通过破解正版小程序获得重要算法模型、代码库等核心数据，二次开发后进行非法销售是典型的黑灰产获利手段。由此导致的代码数据泄露将导致知识产权被侵犯，企业竞争力降低。此外，敏感信息、核心算法逻辑等内容的泄露，也会导致用户财产安全风险。广告、恶意病毒、支付异常等问题，将严重影响用户安全与体验。在该次服务中，WeTest专家团队在客户指定的行业SLA标准下，隐藏混淆其小程序代码，使其反编译难度提升，并将代码膨胀率控制在23%，领先于友商加固结果，获得客户的高度认可。

“开箱即用”的兼容性

WeTest面向主流的小程序开发者提供“开箱即用”产品服务，相对缺乏安全技术储备的开发者无需再投入精力、资源深入研究开源的加固工具。WeTest代码加固在虚拟化的同时兼顾小程序运行时兼容性，对小程序支持的语法做了最新的兼容，比如分包引用，云函数，云版本控制文件，代码块，node_modules编译后的包等均有定制保护。工具兼容性表现优秀，通过Top300+主流机型正常运行验证。

作为WeTest小程序安全系列服务的传统优势项目，小程序安全加固具备以下服务亮点；

• 国密算法支持：WeTest小程序加固运用了经国家密码管理局认证的商用加密算法，从而为加固提供更强的加密保护。
• 丰富灵活的加固选择：针对专家版加固及私有化平台，客户可根据业务需求灵活选择加固等级，平衡代码安全与运行效率，保障核心需求和用户体验。
• 一键在线提测：基础版加固客户可在WeTest公有云SaaS平台自助一键提测，只需填写小程序名称、版本号并上传代码包，即可自动化快速生成加固包。
• 更高的加固强度：除虚拟化、随机自定义映射关系，WeTest小程序加固还使用存储加密、禁用代码Console等手段，深度保障代码安全。
• 性能负面影响低：五等级加固下，小程序平均代码膨胀率在1.6~4倍之间，领先于友商加固产品，且对小程序性能影响极低。三等级加固下的代码膨胀率低至1.31倍。
• 跨平台兼容性：支持微信、支付宝、百度、抖音等多个平台下的小程序以及基于mpvue、uniapp、taro等跨平台框架开发的各平台小程序。同时支持对H5和公众号同步加固。
• 更优质的服务质量：WeTest 专业的安全工程师，支持售前、售中、售后专业的答疑和技术支持，有任何问题即可快速得到一对一的专业指导。

*目前仅专家版本支持国密算法；专家版加固及私有化加固平台暂不支持公有云提测，如有需求请联系客服。

了解更多小程序安全加固服务细节，欢迎前往小程序安全加固产品页，或咨询WeTest客服。