國內APP漏洞掃描收費情況調查

概述

上一次分享了應用加固的評測後，很多人想看看漏洞掃描相關的對比數據。其實在選擇市面上這些移動安全類的產品時，經常為各種複雜的數據而感到疑惑，不知道怎麼來評判各自的性能以及價格，從而選擇出一款性價比高的安全產品。那麼這一篇文章我就先來比較一下市場中現有產品的服務和收費情況。

國內app漏洞掃描平臺，以及它們的收費狀況，大致可以將其分成3類：

第一類：漏洞掃描收費平臺

代表：百度開放雲平臺（9.9元一次）、阿裡雲移動安全（專業版可包年或按次收費）

第二類：漏洞掃描免費，通過漏洞掃描推其他服務

代表：阿裡聚安全、360開發者平臺、騰訊應用樂固

其中阿裡聚安全會通過漏洞掃描推企業類的api服務還有安全組件等監測服務，另外兩個主要是推加固服務。

第三類：漏洞掃描免費，主打定製化服務的平臺(類似人工審計)

代表：梆梆

詳情如下：

1、百度開放雲平臺 （收費9.9元一次，可定製）

鏈接：https://console.bce.baidu.com/aat/startTest/safe

目前掃描沒有免費試用服務，每次掃描收取的費用都是9.9元。這個價位如果是個人用戶或者應用較少且迭代不頻繁的用戶還是挺划算的。從掃描樣例的報告上來看，當前漏洞掃描支持3大類的漏洞：“許可權漏洞”、“靜態漏洞”、“運行時漏洞”。

2、阿裡雲移動安全 （基礎版免費，專業版收費包年20000元/按次1000元）

鏈接：https://www.aliyun.com/product/mobsec

這款產品應該新出的，仔細研究下它的收費模式。在雲盾中開通移動安全服務後可以免費試用基礎版。不過基礎版想到與閹割版。那漏洞掃描來說，基礎版是看不到應用漏洞的具體位置的，只有點擊立即升級購買專業版後才可以看到信息。售賣方式想得也比較周到，有兩種方式：專業版收費包年20000元不限定使用次數，按次1000元一次。

當然這裡的專業版不僅僅可以是在界面上操作的版本，同時還提供API介面形式。這種方式對開發來說其實更方便，特別是有大量應用或者邊修改邊掃描漏洞的場景。這種收費模式來看，阿裡雲的移動安全應該是針對企業客戶來制定的，而且相比其他的產品有這種線上售賣的流程也很方便。

3、阿裡聚安全 （免費，企業版收費）

鏈接：http://jaq.alibaba.com/

阿裡聚安全在免費漏洞掃描中推廣安全組件服務，並且對功能分級針對企業版收費。它的收費是通過用戶類型來區分，個人用戶可以免費試用漏洞掃描，而企業用戶則開通了全部許可權同時也提供API服務。不過具體收費方式在官網中沒有找到。

4、360開發者平臺 （免費，無定製，需身份認證） 

鏈接：http://dev.360.cn/

360本身漏洞掃描也是不收費的，在掃描報告中會通過安全建議“使用360加固對應用進行加固保護”來推廣加固服務。

5、騰訊應用樂固（免費，無定製）

鏈接：http://console.qcloud.com/legu

騰訊雲的應用樂固在掃描界面中無法線上查看掃描的詳情數據，只有通過下載報告才可以。檢測項主要有分以下8種“組件公開安全檢測”、“intent劫持風險安全檢測”、“數據存儲安全檢測”、“webview高危介面安全檢測”、“數據傳輸安全檢測”、“拒絕服務攻擊安全檢測”、“其他安全風險檢測”、“AndroidManifest.xml配置安全檢測”。從整體幾個功能的信息像詳細度來看主要也是推廣加固的。

6、梆梆 （免費 可以定製）

鏈接：http://dev.bangcle.com/apps/index 

梆梆漏洞掃描比較簡陋，主要是做定製化評估。

作為最老牌的應用安全廠商，梆梆的商業模式主要是利用線上的自動化掃描來退出他們的人工審計服務。在掃描報告的下方有更多評估項，例如“支付安全審計”、“界面劫持測試”、“輸入安全評估”等定製化服務。點擊“申請定製化評估”後，是一個對話視窗，可以通過視窗和客服交流。瞭解到這部分定製化的服務是通過線下的方式來對接的。和上面百度阿裡的幾款自主化產品服務形式相比，耗費在人工對接上的時間精力可能會比較大。

整體來看，針對個人用戶使用上述的一些像阿裡聚安全和360的免費漏洞掃描服務就可以滿足了。針對企業類的用戶可以考慮收費服務，比如迭代快或者應用數量較大的則可以考慮阿裡雲移動安全API服務或者梆梆這一類定製化服務。