360入选2024年度移动互联网APP产品安全漏洞治理优秀案例

近日，在上级主管部门的指导下，由中国软件评测中心、CAPPVD漏洞库联合主办的“第六期移动互联网APP产品安全漏洞技术沙龙”在海口成功召开，并于现场公布2024年度优秀案例评选结果。360公司凭借“三六零小程序安全合规检测平台”成功入选移动互联网APP产品安全漏洞治理优秀案例。

360社区

2024年，CAPPVD漏洞专业库继续开展案例征集活动，旨在持续总结移动互联网APP产品安全漏洞治理的创新方法和成功经验，推动移动互联网APP产品安全漏洞治理工作趋于成熟化、规范化。作为CAPPVD漏洞库的技术支撑单位，此次入选，标志着360公司在移动互联网APP产品安全漏洞治理方面得到国家权威机构的高度认可。

360社区

值得一提的是，凭借在漏洞技术研究、漏洞治理实践以及对平台支撑等方面的卓越表现，360公司获评2024年度CAPPVD漏洞库“三星级技术支撑单位”（最高等级）称号。

360社区

三六零小程序安全合规检测平台：通过自动化工具对小程序进行全方位的安全审计，及时发现微信小程序存在的各种安全漏洞和隐私合规风险，并提供详细的修复建议，从而提升小程序的安全性和合规性。

360社区

三六零小程序安全合规检测平台截图

小程序作为企业触达用户的重要载体，其开发周期短、维护成本低的轻量级开发特性导致厂商普遍忽视安全建设：一方面逆向攻击门槛低，接口暴露、数据加密缺失等问题频发；另一方面行业缺乏统一安全标准，开发者常省略鉴权机制、会话管理等基础防护措施，尤其在涉及支付、用户数据等高敏感功能场景中，安全短板可能导致恶意代码注入、数据泄露、业务逻辑篡改等风险，形成与原生应用同等重要的功能却存在系统性安全落差的行业现状。

三六零小程序安全合规检测平台，将小程序的安全审计流水线化，帮助企业或监管机构在不过多介入人工的情况下完成小程序的安全审计。

360社区

三六零小程序安全合规检测平台架构

技术创新：

• 全自动化检测流程，提高漏洞治理效率
  

避免过多的人工介入，显著提升了安全检测效率和准确性。自动化安全审计方式，既减少了人为干预带来的误差，也确保小程序上线前能够全面覆盖各类安全风险，提高漏洞治理质量和效率。

• 多维度的安全检测，满足合规检测要求
  

利用深度还原技术，对小程序客户端加密代码进行处理，不仅涵盖传统的客户端漏洞扫描，还涵盖了隐私合规检查、服务端安全检测等多方面检测，确保小程序在用户数据保护、身份验证等方面都能满足最新的安全要求。多维度的检查提供了全面的安全防护策略。

• 内置API扫描引擎，高效稳定扫描漏洞
  

自研的360宙视Web扫描器的核心引擎，基于360安全大脑丰富的漏洞库，以及国内外前沿的攻击手法和威胁情报，高度适配小程序API扫描场景，通过智能爬虫技术结合无害化扫描语句，能够在不影响业务的情况下快速完成API漏洞扫描。

• AI大模型赋能研判，提供专业修复建议
  

基于DeepSeek-R1的AI大模型能力构建智能风险分析解读模块，通过深度学习和模式识别技术，提供强大的语义语境分析能力增强隐私政策的分析，以及精确的风险研判能力，减少自动化发现的误报问题。并且提供易于理解的修复建议，指导开发者快速定位和整改问题。

360社区

360社区

三六零小程序安全合规检测平台稳定运行6个月，支撑360公司30条业务线及多个客户，累计扫描900余次，发现风险100+，小程序加固累计 159 次，保障20余个小程序安全上线。如有需要欢迎咨询三六零天御在线客服或联系邮箱360jiagubao@360.cn。