今天很无语,小程序更新审核,又被所谓的安全测试搞了一次
做【安全测试】出发点是好的,但能不能做得合理一些,急忙忙地推出一个很不合理的东西。是不是在赶我们这些小程序开发者?
要做安全测试能不能做到以下几点??
1、定义安全测试规则内容,与开发者协议测试内容。
2、与开发者协定测试时间与测试频率
就这两点要求,就能让你的安全测试获得我们开发者的赞许。
是不是不明白这两点的重要性??本人才疏学浅,就在这帮你屡屡
1、为什么要定义安全测试内容。
首先,安全测试的类型,是压力测试、SQL安全测试或者是脚本注入测试,种类繁多是否得明确说明,以便开发者有所准备与反应。
其次,开发小程序中那些接口可以接受安全测试的,是否得让开发者给出定义。有些接口是会影响用户直接体验的,有些接口是会消耗资源的,有些接口甚至会有后续一系列的资源反应,是否得让开发者有选择的空间?不然这样所谓的安全测试导致的后果由谁来承担?
2、为什么要协定测试时间和频率
什么时候有测试,对于一个小程序的运营是否得告知运营人员做相应的应对措施与准备?
什么样的测试频率,是否得让运营人员对服务器的硬件措施做预警与准备?
什么都没有,出现运营事故,责任由谁负责,损失由谁负责?
如果微信小程序是不欢迎我们这些开发者的话,请明说,不用出这些没用的流氓功能来影响我们的使用。
你好,根据所提出的需求建议,有如下几点反馈:
1.目前安全检测涉及的漏洞风险类型主要有:SQL 注入、XSS 、CORS配置不当、敏感信息泄露等;当小程序提审后,检测将会开始,检测持续时间大部分小程序均小于3小时;检测频率目前均以较低速率进行(≤15qps)。
若开发者有需要,可撤回审核,安全扫描也会同步中止。
更多详情请查阅相关公告:小程序安全检测上线公告 | 微信开放社区 (qq.com)
2.为了让开发者在安全检测上有更良好的体验,我们也不断在对此进行优化迭代,后续将会在小程序mp后台-安全中心增加更多有关于安全检测的查看功能(历史扫描结果&扫描进度展示&中止选择操作),目前均已在规划当中,有进展我们会第一时间进行同步。
你好,你的需求建议我们已收到,若有反馈会在第一时间进行同步,谢谢。