https://money.udn.com/money/story/5613/2734224
检测一个App 百万元起跳
2017-10-02 00:58经济日报 记者陈怡慈╱台北报导
金管会要求银行的既有App，须全部委外进行安全检测，未来还须每年至少检测一次。银
行资讯部门主管透露，时下行情，检测一个App，一种版本算一次价格，每次要新台币五
、六十万元。由于App通常包含Android与iOS两种版本，每检测一个App，花费至少100万
元。
随着App的资讯安全与个人资料保护议题发烧，银行营运成本跟着攀升。银行主管指出，
每家银行视业务属性与规模大小，估计一年约需增加一、二百万元至四、五百万元不等的
App资安检测费用。
他举例，有的银行从个人与法人分类，分别推出个人行动App、法人行动App，如此就要花
200万元检测；另外也有大型民营银行，除了个人行动银行App之外，信用卡、缴学费、扫
码支付等，也都有App，估计缴交的检测费用，对我国资安产业发展将有不小贡献。
银行主管说，App安全检测已是消费者意识高涨之下，非做不可的“必要之恶”。银行业
为了调控成本，未来进行数位金融创新时，会尽量把功能整合在既有的App里头，比较不
会为了某些功能而新设一个App。
这股因应强化App资安而生的App整合新趋势，对民众也有好处，不必为了处理太多App而
伤神

你这心得 显然对资安跟专案成本没有sense

银行App出现漏洞可不是100万就能摆平的

100w测你金融的app，还不知道有谁愿意担这个责任勒

真的出包,赔偿金额有机会破千万甚至上亿元...

都超过百万好吗。然后很多检测是根本没能力不懂怎么检测iOS 做心酸的

新闻想让你觉得官商勾结，但以你的专业你真的认为不值这个钱？

有点Sense吧 很多检测设备都比制造设备贵6倍写自动化测试的Code 要有制造知识 真的测起来比写Code还难

不要说送测，有的还会买开价几百甚至上千万的保护工具

可能是跟后台一起测吧，只测app是要测啥？测pocket injected，flow security还说得过去，妓者无知当然只会说测app

ssl1.0先关一关吧tls

内部就有白箱跟黑箱工具在扫弱点了请外部来测 要clone完整的环境 给它测

曾经听过某个厂商扫政府的web，只是用工具扫一扫把工具的报告改成自己公司的style，结案

用工具扫没什么问题吧，如果合约就是这样就可以的话app检测现在通常就是指依工业局行动应用App基本资安规范做的吧，直接测正式版

你只算到你自己的部分 当然会觉得不用到到百位数.检测这种看你是单纯扫描讨报告 还是给人家玩真的

[把工具的报告改成自己公司的style，结案] 这在我的前公司也一样. 我用我的经验补上一些工具没测出来的漏洞(主要是逻辑上的)时还被骂“别多事”呢... =_=

扫出来弱点就请各系统的建置商改，改完后承办人问确定都改完了厚，你们怎么验证没问题了因为我们知道他用哪套工具扫，我们改完再扫一次就ok了承办人才说，原来有工具可以扫的喔！…xd若懂得对公务员"说话的艺术"，一样100万，有的很好赚

检测iOS通常是透过JB的手段 看你app的暂存盘另一个就是看你 web request有没有加密~

100万测你一个 APP ，出包扛到死，这厂商已经很佛心了你以为检测问题比写APP还简单喔?? 没做过资安?

检测工具是当下已经公布的CVE去测

胡说的，单次才12万左右有owasp mobile 2016规范可以依循

App端到底需要测什么 几乎都是丢api 不如测后端的安全性还比较实际