國(guó)內(nèi)APP漏洞掃描收費(fèi)情況調(diào)查

概述

上一次分享了應(yīng)用加固的評(píng)測(cè)后，很多人想看看漏洞掃描相關(guān)的對(duì)比數(shù)據(jù)。其實(shí)在選擇市面上這些移動(dòng)安全類的產(chǎn)品時(shí)，經(jīng)常為各種復(fù)雜的數(shù)據(jù)而感到疑惑，不知道怎么來(lái)評(píng)判各自的性能以及價(jià)格，從而選擇出一款性價(jià)比高的安全產(chǎn)品。那么這一篇文章我就先來(lái)比較一下市場(chǎng)中現(xiàn)有產(chǎn)品的服務(wù)和收費(fèi)情況。

國(guó)內(nèi)app漏洞掃描平臺(tái)，以及它們的收費(fèi)狀況，大致可以將其分成3類：

第一類：漏洞掃描收費(fèi)平臺(tái)

代表：百度開(kāi)放云平臺(tái)（9.9元一次）、阿里云移動(dòng)安全（專業(yè)版可包年或按次收費(fèi)）

第二類：漏洞掃描免費(fèi)，通過(guò)漏洞掃描推其他服務(wù)

代表：阿里聚安全、360開(kāi)發(fā)者平臺(tái)、騰訊應(yīng)用樂(lè)固

其中阿里聚安全會(huì)通過(guò)漏洞掃描推企業(yè)類的api服務(wù)還有安全組件等監(jiān)測(cè)服務(wù)，另外兩個(gè)主要是推加固服務(wù)。

第三類：漏洞掃描免費(fèi)，主打定制化服務(wù)的平臺(tái)(類似人工審計(jì))

代表：梆梆

詳情如下：

1、百度開(kāi)放云平臺(tái) （收費(fèi)9.9元一次，可定制）

鏈接：https://console.bce.baidu.com/aat/startTest/safe

目前掃描沒(méi)有免費(fèi)試用服務(wù)，每次掃描收取的費(fèi)用都是9.9元。這個(gè)價(jià)位如果是個(gè)人用戶或者應(yīng)用較少且迭代不頻繁的用戶還是挺劃算的。從掃描樣例的報(bào)告上來(lái)看，當(dāng)前漏洞掃描支持3大類的漏洞：“權(quán)限漏洞”、“靜態(tài)漏洞”、“運(yùn)行時(shí)漏洞”。

2、阿里云移動(dòng)安全 （基礎(chǔ)版免費(fèi)，專業(yè)版收費(fèi)包年20000元/按次1000元）

鏈接：https://www.aliyun.com/product/mobsec

這款產(chǎn)品應(yīng)該新出的，仔細(xì)研究下它的收費(fèi)模式。在云盾中開(kāi)通移動(dòng)安全服務(wù)后可以免費(fèi)試用基礎(chǔ)版。不過(guò)基礎(chǔ)版想到與閹割版。那漏洞掃描來(lái)說(shuō)，基礎(chǔ)版是看不到應(yīng)用漏洞的具體位置的，只有點(diǎn)擊立即升級(jí)購(gòu)買專業(yè)版后才可以看到信息。售賣方式想得也比較周到，有兩種方式：專業(yè)版收費(fèi)包年20000元不限定使用次數(shù)，按次1000元一次。

當(dāng)然這里的專業(yè)版不僅僅可以是在界面上操作的版本，同時(shí)還提供API接口形式。這種方式對(duì)開(kāi)發(fā)來(lái)說(shuō)其實(shí)更方便，特別是有大量應(yīng)用或者邊修改邊掃描漏洞的場(chǎng)景。這種收費(fèi)模式來(lái)看，阿里云的移動(dòng)安全應(yīng)該是針對(duì)企業(yè)客戶來(lái)制定的，而且相比其他的產(chǎn)品有這種線上售賣的流程也很方便。

3、阿里聚安全 （免費(fèi)，企業(yè)版收費(fèi)）

鏈接：http://jaq.alibaba.com/

阿里聚安全在免費(fèi)漏洞掃描中推廣安全組件服務(wù)，并且對(duì)功能分級(jí)針對(duì)企業(yè)版收費(fèi)。它的收費(fèi)是通過(guò)用戶類型來(lái)區(qū)分，個(gè)人用戶可以免費(fèi)試用漏洞掃描，而企業(yè)用戶則開(kāi)通了全部權(quán)限同時(shí)也提供API服務(wù)。不過(guò)具體收費(fèi)方式在官網(wǎng)中沒(méi)有找到。

4、360開(kāi)發(fā)者平臺(tái) （免費(fèi)，無(wú)定制，需身份認(rèn)證） 

鏈接：http://dev.#/

360本身漏洞掃描也是不收費(fèi)的，在掃描報(bào)告中會(huì)通過(guò)安全建議“使用360加固對(duì)應(yīng)用進(jìn)行加固保護(hù)”來(lái)推廣加固服務(wù)。

5、騰訊應(yīng)用樂(lè)固（免費(fèi)，無(wú)定制）

鏈接：http://console.qcloud.com/legu

騰訊云的應(yīng)用樂(lè)固在掃描界面中無(wú)法在線查看掃描的詳情數(shù)據(jù)，只有通過(guò)下載報(bào)告才可以。檢測(cè)項(xiàng)主要有分以下8種“組件公開(kāi)安全檢測(cè)”、“intent劫持風(fēng)險(xiǎn)安全檢測(cè)”、“數(shù)據(jù)存儲(chǔ)安全檢測(cè)”、“webview高危接口安全檢測(cè)”、“數(shù)據(jù)傳輸安全檢測(cè)”、“拒絕服務(wù)***安全檢測(cè)”、“其他安全風(fēng)險(xiǎn)檢測(cè)”、“AndroidManifest.xml配置安全檢測(cè)”。從整體幾個(gè)功能的信息像詳細(xì)度來(lái)看主要也是推廣加固的。

6、梆梆 （免費(fèi) 可以定制）

鏈接：http://dev.bangcle.com/apps/index 

梆梆漏洞掃描比較簡(jiǎn)陋，主要是做定制化評(píng)估。

作為最老牌的應(yīng)用安全廠商，梆梆的商業(yè)模式主要是利用線上的自動(dòng)化掃描來(lái)退出他們的人工審計(jì)服務(wù)。在掃描報(bào)告的下方有更多評(píng)估項(xiàng)，例如“支付安全審計(jì)”、“界面劫持測(cè)試”、“輸入安全評(píng)估”等定制化服務(wù)。點(diǎn)擊“申請(qǐng)定制化評(píng)估”后，是一個(gè)對(duì)話窗口，可以通過(guò)窗口和客服交流。了解到這部分定制化的服務(wù)是通過(guò)線下的方式來(lái)對(duì)接的。和上面百度阿里的幾款自主化產(chǎn)品服務(wù)形式相比，耗費(fèi)在人工對(duì)接上的時(shí)間精力可能會(huì)比較大。

整體來(lái)看，針對(duì)個(gè)人用戶使用上述的一些像阿里聚安全和360的免費(fèi)漏洞掃描服務(wù)就可以滿足了。針對(duì)企業(yè)類的用戶可以考慮收費(fèi)服務(wù)，比如迭代快或者應(yīng)用數(shù)量較大的則可以考慮阿里云移動(dòng)安全API服務(wù)或者梆梆這一類定制化服務(wù)。

Sunnieli