為什麼這篇資安檢測報價鄉民發文收入到精華區:因為在資安檢測報價這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者tw689 (台灣689)看板Soft_Job標題[新聞] 檢測一個App 百萬元起跳時間Mon...
https://money.udn.com/money/story/5613/2734224
檢測一個App 百萬元起跳
2017-10-02 00:58經濟日報 記者陳怡慈╱台北報導
金管會要求銀行的既有App,須全部委外進行安全檢測,未來還須每年至少檢測一次。銀
行資訊部門主管透露,時下行情,檢測一個App,一種版本算一次價格,每次要新台幣五
、六十萬元。由於App通常包含Android與iOS兩種版本,每檢測一個App,花費至少100萬
元。
隨著App的資訊安全與個人資料保護議題發燒,銀行營運成本跟著攀升。銀行主管指出,
每家銀行視業務屬性與規模大小,估計一年約需增加一、二百萬元至四、五百萬元不等的
App資安檢測費用。
他舉例,有的銀行從個人與法人分類,分別推出個人行動App、法人行動App,如此就要花
200萬元檢測;另外也有大型民營銀行,除了個人行動銀行App之外,信用卡、繳學費、掃
碼支付等,也都有App,估計繳交的檢測費用,對我國資安產業發展將有不小貢獻。
銀行主管說,App安全檢測已是消費者意識高漲之下,非做不可的「必要之惡」。銀行業
為了調控成本,未來進行數位金融創新時,會儘量把功能整合在既有的App裡頭,比較不
會為了某些功能而新設一個App。
這股因應強化App資安而生的App整合新趨勢,對民眾也有好處,不必為了處理太多App而
傷神
--
一個APP成本都不一定有100萬了
檢測就要100萬...
而且以前也送過檢測,覺得根本啥屁用吧
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 210.64.53.9
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1506908955.A.2D2.html
→ kvjo: 你這心得 顯然對資安跟專案成本沒有sense 10/02 10:12
噓 seedli: 銀行App出現漏洞可不是100萬就能擺平的 10/02 10:18
→ laputaflutin: 100w測你金融的app,還不知道有誰願意擔這個責任勒 10/02 10:27
→ hidog: 真的出包,賠償金額有機會破千萬甚至上億元... 10/02 10:27
噓 SuperCry: 都超過百萬好嗎。然後很多檢測是根本沒能力不懂怎麼檢測 10/02 10:41
→ SuperCry: iOS 做心酸的 10/02 10:41
我就做過銀行的app沒超過百萬還要送測的啊XD不過送測試銀行端自行送測我不知道價錢就是了
只會收到測試回報
→ elements: 新聞想讓你覺得官商勾結,但以你的專業你真的認為不值 10/02 10:57
→ elements: 這個錢? 10/02 10:57
噓 femlro: 有點Sense吧 很多檢測設備都比製造設備貴6倍 10/02 11:02
→ femlro: 寫自動化測試的Code 要有製造知識 真的測起來比寫Code還難 10/02 11:02
※ 編輯: tw689 (210.64.53.9), 10/02/2017 11:11:18→ ssccg: 不要說送測,有的還會買開價幾百甚至上千萬的保護工具 10/02 11:25
推 pttuser: 可能是跟後台一起測吧,只測app是要測啥?測pocket injec 10/02 12:09
→ pttuser: ted,flow security還說得過去,妓者無知當然只會說測app 10/02 12:09
推 now99: ssl1.0先關一關吧 10/02 12:18
→ now99: tls 10/02 12:18
→ ChungLi5566: 內部就有白箱跟黑箱工具在掃弱點了 10/02 12:43
→ ChungLi5566: 請外部來測 要clone完整的環境 給它測 10/02 12:44
→ vswillie: 曾經聽過某個廠商掃政府的web,只是用工具掃一掃 10/02 17:00
→ vswillie: 把工具的報告改成自己公司的style,結案 10/02 17:01
→ ssccg: 用工具掃沒什麼問題吧,如果合約就是這樣就可以的話 10/02 17:34
→ ssccg: app檢測現在通常就是指依工業局行動應用App基本資安規範做 10/02 17:38
→ ssccg: 的吧,直接測正式版 10/02 17:39
→ alog: 你只算到你自己的部分 當然會覺得不用到到百位數. 10/02 21:45
→ alog: 檢測這種看你是單純掃描討報告 還是給人家玩真的 10/02 21:46
推 leicheong: [把工具的報告改成自己公司的style,結案] 這在我的 10/02 21:56
→ leicheong: 前公司也一樣. 我用我的經驗補上一些工具沒測出來的 10/02 21:58
→ leicheong: 漏洞(主要是邏輯上的)時還被罵「別多事」呢... =_= 10/02 21:59
→ vswillie: 掃出來弱點就請各系統的建置商改,改完後承辦人問 10/02 22:08
→ vswillie: 確定都改完了厚,你們怎麼驗證沒問題了 10/02 22:08
→ vswillie: 因為我們知道他用哪套工具掃,我們改完再掃一次就ok了 10/02 22:08
→ vswillie: 承辦人才說,原來有工具可以掃的喔!…xd 10/02 22:09
→ vswillie: 若懂得對公務員"說話的藝術",一樣100萬,有的很好賺 10/02 22:12
→ dm33: 檢測iOS通常是透過JB的手段 看你app的暫存檔 10/03 10:11
→ dm33: 另一個就是看你 web request有沒有加密~ 10/03 10:37
噓 mathrew: 100萬測你一個 APP ,出包扛到死,這廠商已經很佛心了 10/03 16:52
→ mathrew: 你以為檢測問題比寫APP還簡單喔?? 沒做過資安? 10/03 16:53
→ ChungLi5566: 檢測工具是當下已經公布的CVE去測 10/03 20:15
推 piadora: 胡說的,單次才12萬左右 10/08 13:00
推 piadora: 有owasp mobile 2016規範可以依循 10/08 13:03
噓 paul7322000: App端到底需要測什麼 幾乎都是丟api 不如測後端的安 10/09 13:52
→ paul7322000: 全性還比較實際 10/09 13:52