國內APP漏洞掃描收費狀況調查

概述

上一次分享了應用加固的評測後，不少人想看看漏洞掃描相關的對比數據。其實在選擇市面上這些移動安全類的產品時，常常爲各類複雜的數據而感到疑惑，不知道怎麼來評判各自的性能以及價格，從而選擇出一款性價比高的安全產品。那麼這一篇文章我就先來比較一下市場中現有產品的服務和收費狀況。

國內app漏洞掃描平臺，以及它們的收費情況，大體能夠將其分紅3類：

第一類：漏洞掃描收費平臺

表明：百度開放雲平臺（9.9元一次）、阿里雲移動安全（專業版可包年或按次收費）

第二類：漏洞掃描免費，經過漏洞掃描推其餘服務

表明：阿里聚安全、360開發者平臺、騰訊應用樂固

其中阿里聚安全會經過漏洞掃描推企業類的api服務還有安全組件等監測服務，另外兩個主要是推加固服務。

第三類：漏洞掃描免費，主打定製化服務的平臺(相似人工審計)

表明：梆梆

詳情以下：

一、百度開放雲平臺 （收費9.9元一次，可定製）

連接：https://console.bce.baidu.com...

目前掃描沒有免費試用服務，每次掃描收取的費用都是9.9元。這個價位若是是我的用戶或者應用較少且迭代不頻繁的用戶仍是挺划算的。從掃描樣例的報告上來看，當前漏洞掃描支持3大類的漏洞：「權限漏洞」、「靜態漏洞」、「運行時漏洞」。

二、阿里雲移動安全 （基礎版免費，專業版收費包年20000元/按次1000元）

連接：https://www.aliyun.com/produc...

這款產品應該新出的，仔細研究下它的收費模式。在雲盾中開通移動安全服務後能夠免費試用基礎版。不過基礎版想到與閹割版。那漏洞掃描來講，基礎版是看不到應用漏洞的具體位置的，只有點擊當即升級購買專業版後才能夠看到信息。售賣方式想得也比較周到，有兩種方式：專業版收費包年20000元不限定使用次數，按次1000元一次。

固然這裏的專業版不只僅能夠是在界面上操做的版本，同時還提供API接口形式。這種方式對開發來講其實更方便，特別是有大量應用或者邊修改邊掃描漏洞的場景。這種收費模式來看，阿里雲的移動安全應該是針對企業客戶來制定的，並且相比其餘的產品有這種線上售賣的流程也很方便。

三、阿里聚安全 （免費，企業版收費）

連接：http://jaq.alibaba.com/

阿里聚安全在免費漏洞掃描中推廣安全組件服務，而且對功能分級針對企業版收費。它的收費是經過用戶類型來區分，我的用戶能夠免費試用漏洞掃描，而企業用戶則開通了所有權限同時也提供API服務。不過具體收費方式在官網中沒有找到。

四、360開發者平臺 （免費，無定製，需身份認證）

連接：http://dev.360.cn/

360自己漏洞掃描也是不收費的，在掃描報告中會經過安全建議「使用360加固對應用進行加固保護」來推廣加固服務。

五、騰訊應用樂固（免費，無定製）

連接：http://console.qcloud.com/legu

騰訊雲的應用樂固在掃描界面中沒法在線查看掃描的詳情數據，只有經過下載報告才能夠。檢測項主要有分如下8種「組件公開安全檢測」、「intent劫持風險安全檢測」、「數據存儲安全檢測」、「webview高危接口安全檢測」、「數據傳輸安全檢測」、「拒絕服務攻擊安全檢測」、「其餘安全風險檢測」、「AndroidManifest.xml配置安全檢測」。從總體幾個功能的信息像詳細度來看主要也是推廣加固的。

六、梆梆 （免費 能夠定製）

連接：http://dev.bangcle.com/apps/i...

梆梆漏洞掃描比較簡陋，主要是作定製化評估。

做爲最老牌的應用安全廠商，梆梆的商業模式主要是利用線上的自動化掃描來退出他們的人工審計服務。在掃描報告的下方有更多評估項，例如「支付安全審計」、「界面劫持測試」、「輸入安全評估」等定製化服務。點擊「申請定製化評估」後，是一個對話窗口，能夠經過窗口和客服交流。瞭解到這部分定製化的服務是經過線下的方式來對接的。和上面百度阿里的幾款自主化產品服務形式相比，耗費在人工對接上的時間精力可能會比較大。

總體來看，針對我的用戶使用上述的一些像阿里聚安全和360的免費漏洞掃描服務就能夠知足了。針對企業類的用戶能夠考慮收費服務，好比迭代快或者應用數量較大的則能夠考慮阿里雲移動安全API服務或者梆梆這一類定製化服務。