1月9日，WeChat推出的小型程序正式启动。Applet是一款不需要安装就可以使用的移动应用程序，不必像往常一样下载应用程序，用户也可以在WECHAT中使用它。小程序作为最大的功能更新自微信诞生以来，或是火在互联网圈…

与此同时，在各种声音中，业界已经开始质疑其安全性。有了这个问题，我采访了王宇，创造和安全服务部主任，让安全专家以正确的姿态解释小程序的安全性。

王宇：真的很热，因为每个人都在谈论小程序，但它不同于整个互联网生态。它不同于解释的角度，但大部分都是有利可图的。我认为这可能让张晓龙感到失望，当然，也有一些人在看。不能说，现在正式的在线小程序在我看来仍然属于水测试的阶段，所以我相信这些不同的声音能使微信团队成为一个好的裁判。我个人认为这个方向是正确的，而关键点是轻应用以满足用户的需求，因为用户的需求起点永远不会错。但是在客户端，确实需要重新。认识APP与小程序的真正区别。我相信将来会有很多优秀的小程序让人们认识到。

王宇：应用到小程序，业界对安全做了大量的分析，归根结底，什么是事实，事实是一样的，没有系统敢说100%安全。然而，从转型的过程来看，这个平台的风险是什么减少了，聊天结束是制造商的一部分，小程序在避免跨站脚本的风险方面具有自然优势，而腾讯SRC的存在，主要安全厂商是腾讯的合作伙伴，包括年复一年。TFEAM作为一个比自建平台更好的平台。

但重要的问题是，在新的领域中存在着一个认知过程，因为最终的安全仍然是对自身负责的，此时，我们回到了传统安全领域最常见的问题。如果安全性落后于产品，问题可能会出现。在开发一个小程序的过程中，我们知道创建是第一个获得内部帐户，我们有一个业务系统和一个应用程序渗透测试，所以我们也会考虑这个小程序。通过开发一个后端分析，我们列出了许多开发人员在执行一个小程序过程中容易犯的错误。这些错误，比如传统的安全，被这些错误抛在后面。

王宇：这是个好问题。这也可能是用户最关心的问题。我们的团队最近拿起了一个小型的微信程序渗透测试服务，因为我们第一次接触到微信小程序，并率先建立了一个完整的渗透测试程序，所以他们发现我们，毫不奇怪，t。他还可能是业界第一个商业WebCalp小程序渗透测试服务。但遗憾的是，正如你在我们的最终报告中所说的那样，漏洞可以让攻击者获得所有用户数据，这就是我们所说的拖拽。

但是我们也必须给予供应商很多的赞扬，因为他们把安全放在一个非常重要的位置上，当他们生活在微信的小程序上，首先在我们的专业测试被修复之后通过线。但是我们不知道其他厂商的小程序到底做不做。当小程序真正来到我们身边时，许多客户也意识到了增加业务的机会。R&D部门的努力可能是第一个准时的，所以不久之后，银监会就停止了金融机构的小程序。我认为我们必须严格控制安全。

王宇：通过大量的分析，我们的安全服务团队结合了一个小程序的特点，以及我们积累的应用程序安全经验，开发人员在SQL注入、覆盖访问、文件上传、CSRF、信息公开等方面可能存在一些严格的安全问题。整个检测规范是为了避免开发者编写代码时出现的安全问题。专业安全测试会发现问题。小程序真的是一件好事，但是我们必须把安全放在一个非常重要的位置发展，如果你的团队没有这个能力，建议找一个专业的安全团队来做安全测试和控制，特别是在网络安全法即将实施之前，有必要对企业信息泄漏风险进行规避。

这篇文章是由网站管理员的家庭媒体平台分发的。该网站的家庭媒体平台旨在为企业提供全方位的互联网品牌推广和营销服务。目前，该平台已经上线自助自助投递系统，对接直接编辑，更快速草稿，负担得起，并可以获得免费的自媒体分布。离子资源（头号、百号、搜狐号、网易等）。