随着移动互联网的快速发展，传统的金融支付手段被搬到了手机屏幕上，移动支付应用、手机银行等金融类应用为用户带来了巨大的便捷。然而，由于金融应用直接与用户的交易、资金紧密相关，此类应用也成为了欺诈者与黑客竟相攻击的对象。

金融类应用面临的安全风险

目前各家金融机构争相推出各自的应用软件，其中各热门应用均遭到不同程度的入侵攻击或二次打包等威胁。

金融类应用主要面临的安全风险是：交易安全风险、敏感信息泄露、信誉安全风险、流程安全风险。

金融类应用安全风险的危害

以上这些安全风险，可能导致的后果是金融机构用户的大批量敏感信息泄露，甚至直接造成巨额的财产损失，最终造成金融机构的信誉危机，影响金融机构的长远发展。

阿里聚安全对金融类应用提供的安全解决方案

针对金融类应用的安全风险，阿里聚安全以“风险发现—安全增强—规范开发全流程“的模式为金融应用提供全方位、多层次的安全保护。

风险发现：漏洞深入排查，仿冒应用全网覆盖

在风险发现中，阿里聚安全提供漏洞扫描和仿冒监测服务。漏洞扫描服务可帮助金融应用开发者迅速发现应用中的漏洞，及时有效防止用户信息泄露和资金损失。仿冒监测服务能够监测数百个渠道、网盘、论坛等全网范围内的仿冒软件，为正版应用开发者提供仿冒软件的信息，防止用户因下载仿冒应用而导致的资金损失。

通过风险发现方案，金融应用开发者可及时发现应用中存在的安全问题，进而采取安全增强措施提高安全等级，减少损失。

安全增强：安全组件、应用加固并行合作，共保金融安全

安全组件SDK从代码层面，贯穿编译的整个过程，保护应用的业务安全。具备安全存储、安全加密、安全签名、安全检测等功能特点。阿里聚安全提供SDK类型的安全组件供开发者进行接入，通过实现多层次的安全机制打造安全沙箱环境来防止应用被黑客或木马所攻击。服务端提供应用安全监控服务，帮助开发者了解所发布应用的安全状况与安全趋势。

应用加固服务针对安装包直接加固，无需二次开发。应用加固增加了应用逻辑的分析成本，使得攻击者无法使用手动或自动化工具快速获取应用逻辑。并且防恶意篡改，防内存窃取，防动态跟踪和注入等风险。

流程规范：ASDL流程安全开发，避免安全风险

阿里聚安全为金融类应用提供完整的安全开发流程规范，通过在软件开发生命周期的每个阶段执行必要的安全控制活动或任务，避免设计缺陷、逻辑缺陷和代码缺陷，保证软件在开发生命周期内的安全性得到最大的提升，真正做到从应用产生的源头来避免安全风险。

阿里聚安全为金融类应用带来的价值

阿里聚安全平台已在阿里集团内部服务多年，经历了各种风险考验，现在我们将丰富的安全服务经验开放出来，为您提供支付宝、手机淘宝级的安全防护。“安全组件SDK和应用加固为主，恶意代码扫描和仿冒监测为辅”的防护方案，能为金融类应用发现潜在风险，并以安全SDK和加固结合的形式升级安全保护能力，极大降低应用被攻击的风险、保护应用机密数据、减少市场仿冒量，进而保护用户资产和开发者的合法权益，保障金融机构在移动端的健康发展。

移动互联网的发展带来了手机应用的爆发式增长，这背后便是无数的应用开发商，他们所开发的应用不仅承载了开发者们的心血，也是他们梦想和希望的化身。由于市场竞争激烈、移动应用的可替代性高等原因，很多开发商会在尽可能短的时间内完成应用开发、发布、融资、变现，根本无暇顾及应用的安全问题，久而久之，他们开发的应用变得不那么安全，这不仅最终损害用户的利益，甚至会导致应用开发商破产。

应用开发商面临的安全风险

根据阿里移动安全中心的统计，在众多热门安卓应用中，约97%的应用存在漏洞问题，且平均漏洞量达40个。此外，约82%的热门安卓应用都存在仿冒软件，且平均仿冒量达13个。上述数据表明，应用开发商开发的软件或多或少，或轻或重都存在安全风险，这些问题无论是由于开发者安全意识不到位，还是黑客恶意攻击造成的，都将直接影响终端用户，最终祸及应用开发商自身。

应用开发商安全风险的危害

以上描述的安全风险，一方面会造成用户敏感信息泄露、财产损失、账户被盗、被恶意骚扰等，给用户带来极大困扰，用户会逐渐远离该应用甚至变得不相信该开发商开发的任何应用。而对于应用开发商而言，用户的离开和合作伙伴的质疑，不仅直接影响收入，公司的声誉和品牌也将被污染，甚至在公司融资变现的关键阶段被黑客或竞争对手击败，以致置公司于破产的地步，安全无小事，所有的应用开发者都应该引起注意。

阿里聚安全对应用开发商提供的安全解决方案

针对应用开发商以上的安全风险，阿里聚安全推出“风险发现—安全增强—规范开发全流程”的递进型模式，为应用提供全方位的安全保护，并尽量从开发源头避免安全问题的产生。

风险发现：代码、漏洞深入排查，仿冒应用全网覆盖

在风险发现中，阿里聚安全提供恶意代码检测、漏洞扫描和仿冒监测服务。恶意代码检测服务可帮助应用开发商迅速定位第三方组件中的恶意代码，尽早修复代码问题，防止发布后影响用户。漏洞扫描服务采用行业领先的动静态分析技术进行漏洞深度检测，可发现应用中隐藏的真实漏洞，避免应用被黑客反编译、被篡改等。仿冒监测服务能够监测数百个渠道、网盘、论坛等全网范围内的仿冒软件，维护正版应用开发商的版权、收入、声誉、品牌。

通过风险发现方案，应用开发商可及时发现应用中存在的安全问题，在发布之前全部修复。但是有些安全风险的产生不是因为漏洞问题，而是由于应用安全防护级别太低，在这种情况下，阿里聚安全推荐使用安全增强服务。

安全增强：安全组件、应用加固并行合作，共保金融安全

阿里聚安全提供SDK类型的安全组件供开发者进行接入，主要包含安全加密、安全存储、安全签名、业务防控等功能，可保护应用业务层面的安全，防止用户隐私数据泄露、应用被反编译等风险。应用加固服务针对安装包直接加固，无需二次开发。应用加固增加了应用逻辑的分析成本，使得攻击者无法使用手动或自动化工具快速获取应用逻辑。安全组件和应用加固由内而外，通力合作，保障应用安全，让应用开发商可以专注在其业务上。

通过安全增强方案，应用的安全等级再一次被提高，但应用的安全问题最好从根源上杜绝或避免，尤其当应用开发商发展到一定规模之后，更应该注重应用全生命周期的安全防控，为此，阿里聚安全推荐第三个层次的安全方案：ASDL流程规范。

流程规范：ASDL流程安全开发，避免安全风险

ASDL是一套完整的应用开发流程规范，在应用设计、开发、测试、发布等环节为开发者给出安全建议，从根源上避免风险产生。通过在软件开发生命周期的每个阶段执行必要的安全控制活动或任务，避免设计缺陷、逻辑缺陷和代码缺陷，保证软件在开发生命周期内的安全性得到最大的提升。

阿里聚安全对应用开发商带来的价值

应用开发商是心怀梦想的创业者，在企业从小到大的过程中不可避免会遇到安全问题，阿里聚安全希望在企业发展历程中贡献自己的力量，帮助企业解决安全风险，使其不在关键时期被安全拖后腿，助力其梦想实现。阿里聚安全为应用开发商提供的安全服务，有助于提升其产品的稳定、健康、体验，让终端用户直接受益，并带来企业美誉度、品牌影响力、收入等逐步增加。

应用市场面临的安全风险

随着移动互联网的发展和智能手机的普及，用户对各类应用的需求在催生应用井喷式发展的同时，也牵出大大小小应用市场的面世。各安卓应用市场如应用宝、百度手机助手、安卓市场、安智市场、豌豆荚等可以说百家争鸣，各有其艳，应用市场中的应用琳琅满目，给用户的生活带来极大的便利，但不可忽视的是，由于种种原因，多数应用市场依然存在较多安全问题，如仿冒应用、携带病毒木马的应用等，这不仅给用户带来安全隐患，也会影响应用市场的声誉。

一方面，部分应用开发者为了自己的私利，通过开发恶意应用、仿冒正版软件等行为窃取用户隐私、恶意吸费、盗取账户资产等，严重侵害用户利益。另一方面，应用市场由于审核尺度问题或没有时间严格审核等原因，导致低质量应用充斥在应用市场中，不仅危害用户，也对自身的信誉和收入带来影响。

应用市场安全风险的危害

以上安全风险，用户一旦发觉自己的手机遭到恶意应用侵害后会对应用市场产生反感情绪，从而导致应用市场的用户流失，也会损害其口碑和形象。若被国家机关查处到质量太低，还存在市场被关闭整顿的风险，这不仅影响应用市场的信誉，也会影响其收入。

阿里聚安全对应用市场提供的安全解决方案

针对这些安全风险，阿里聚安全推出以“恶意代码检测、漏洞扫描和仿冒监测为主，安全组件SDK和应用加固为辅“的安全解决方案，从风险发现和安全增强两个层面为应用市场提供安全保护。通过该方案，应用市场在审核各个应用时，使用风险发现服务检测应用的合格性，将恶意应用和仿冒应用拒之门外，保障用户权益，保证应用市场健康。

风险发现：代码、漏洞深入排查，仿冒应用全网覆盖

恶意代码检测服务可迅速定位应用中第三方组件内的恶意代码，防止不良开发者插入广告、病毒木马等，避免其对用户实施恶意行为。漏洞扫描服务采用行业领先的动静态分析技术进行漏洞深度检测，可发现应用中隐藏的真实漏洞，为应用市场的审核人员提供参考。仿冒监测服务能够监测数百个渠道、网盘、论坛等全网范围内的仿冒软件，应用市场一旦发现这些仿冒应用，即可实施下架行动，捍卫正版应用的权益，同时保全应用市场的名誉和收入。

通过风险发现方案，应用市场可及时发现有问题的应用，进而采取相应处理措施。虽然风险发现方案可为应用市场营造一个绿色的环境，但如果应用市场能对审核出有恶意代码或漏洞的应用推荐解决办法，作为增值服务，不仅能督促开发者解决安全风险后再提交审核以保证应用质量，还可以增强自己的信誉度。

安全增强：安全组件、应用加固并行合作，共保应用安全

安全组件SDK提供安全加密、安全存储、安全签名、业务防控等功能，可保护应用业务层面的安全，防止用户隐私数据泄露等风险。应用加固针对安装包直接加固，无需二次开发，从应用的外层进行防护，安全SDK和应用加固结合的模式，从内而外为应用提供全方位保护。

阿里聚安全对应用市场带来的价值

如何从源头解决应用的安全问题，充分保障应用市场和用户的利益一直是阿里聚安全关注的重点。阿里聚安全提供的恶意代码检测、漏洞扫描、仿冒监测等服务，可在应用提交市场审核时进行检测，为应用市场审核人员提供信息支撑，帮助应用市场更好的规范和管理市场中的应用，这不仅保全了用户权益，也有利于增加应用开发者和市场的黏性、提升市场品牌美誉度，从而带来更大收益。