https://money.udn.com/money/story/5613/2734224
檢測一個App 百萬元起跳
2017-10-02 00:58經濟日報 記者陳怡慈╱台北報導
金管會要求銀行的既有App，須全部委外進行安全檢測，未來還須每年至少檢測一次。銀
行資訊部門主管透露，時下行情，檢測一個App，一種版本算一次價格，每次要新台幣五
、六十萬元。由於App通常包含Android與iOS兩種版本，每檢測一個App，花費至少100萬
元。
隨著App的資訊安全與個人資料保護議題發燒，銀行營運成本跟著攀升。銀行主管指出，
每家銀行視業務屬性與規模大小，估計一年約需增加一、二百萬元至四、五百萬元不等的
App資安檢測費用。
他舉例，有的銀行從個人與法人分類，分別推出個人行動App、法人行動App，如此就要花
200萬元檢測；另外也有大型民營銀行，除了個人行動銀行App之外，信用卡、繳學費、掃
碼支付等，也都有App，估計繳交的檢測費用，對我國資安產業發展將有不小貢獻。
銀行主管說，App安全檢測已是消費者意識高漲之下，非做不可的「必要之惡」。銀行業
為了調控成本，未來進行數位金融創新時，會儘量把功能整合在既有的App裡頭，比較不
會為了某些功能而新設一個App。
這股因應強化App資安而生的App整合新趨勢，對民眾也有好處，不必為了處理太多App而
傷神

你這心得 顯然對資安跟專案成本沒有sense

銀行App出現漏洞可不是100萬就能擺平的

100w測你金融的app，還不知道有誰願意擔這個責任勒

真的出包,賠償金額有機會破千萬甚至上億元...

都超過百萬好嗎。然後很多檢測是根本沒能力不懂怎麼檢測iOS 做心酸的

新聞想讓你覺得官商勾結，但以你的專業你真的認為不值這個錢？

有點Sense吧 很多檢測設備都比製造設備貴6倍寫自動化測試的Code 要有製造知識 真的測起來比寫Code還難

不要說送測，有的還會買開價幾百甚至上千萬的保護工具

可能是跟後台一起測吧，只測app是要測啥？測pocket injected，flow security還說得過去，妓者無知當然只會說測app

ssl1.0先關一關吧tls

內部就有白箱跟黑箱工具在掃弱點了請外部來測 要clone完整的環境 給它測

曾經聽過某個廠商掃政府的web，只是用工具掃一掃把工具的報告改成自己公司的style，結案

用工具掃沒什麼問題吧，如果合約就是這樣就可以的話app檢測現在通常就是指依工業局行動應用App基本資安規範做的吧，直接測正式版

你只算到你自己的部分 當然會覺得不用到到百位數.檢測這種看你是單純掃描討報告 還是給人家玩真的

[把工具的報告改成自己公司的style，結案] 這在我的前公司也一樣. 我用我的經驗補上一些工具沒測出來的漏洞(主要是邏輯上的)時還被罵「別多事」呢... =_=

掃出來弱點就請各系統的建置商改，改完後承辦人問確定都改完了厚，你們怎麼驗證沒問題了因為我們知道他用哪套工具掃，我們改完再掃一次就ok了承辦人才說，原來有工具可以掃的喔！…xd若懂得對公務員"說話的藝術"，一樣100萬，有的很好賺

檢測iOS通常是透過JB的手段 看你app的暫存檔另一個就是看你 web request有沒有加密~

100萬測你一個 APP ，出包扛到死，這廠商已經很佛心了你以為檢測問題比寫APP還簡單喔?? 沒做過資安?

檢測工具是當下已經公布的CVE去測

胡說的，單次才12萬左右有owasp mobile 2016規範可以依循

App端到底需要測什麼 幾乎都是丟api 不如測後端的安全性還比較實際