PTT職涯區 / Soft_Job (軟體人)

[新聞] 檢測一個App 百萬元起跳

看板Soft_Job (軟體人)作者 (台灣689)時間8年前 (2017/10/02 09:49), 8年前編輯推噓0(5531)
留言41則, 18人參與, 8年前最新討論串1/1
https://money.udn.com/money/story/5613/2734224 檢測一個App 百萬元起跳 2017-10-02 00:58經濟日報 記者陳怡慈╱台北報導 金管會要求銀行的既有App,須全部委外進行安全檢測,未來還須每年至少檢測一次。銀 行資訊部門主管透露,時下行情,檢測一個App,一種版本算一次價格,每次要新台幣五 、六十萬元。由於App通常包含Android與iOS兩種版本,每檢測一個App,花費至少100萬 元。 隨著App的資訊安全與個人資料保護議題發燒,銀行營運成本跟著攀升。銀行主管指出, 每家銀行視業務屬性與規模大小,估計一年約需增加一、二百萬元至四、五百萬元不等的 App資安檢測費用。 他舉例,有的銀行從個人與法人分類,分別推出個人行動App、法人行動App,如此就要花 200萬元檢測;另外也有大型民營銀行,除了個人行動銀行App之外,信用卡、繳學費、掃 碼支付等,也都有App,估計繳交的檢測費用,對我國資安產業發展將有不小貢獻。 銀行主管說,App安全檢測已是消費者意識高漲之下,非做不可的「必要之惡」。銀行業 為了調控成本,未來進行數位金融創新時,會儘量把功能整合在既有的App裡頭,比較不 會為了某些功能而新設一個App。 這股因應強化App資安而生的App整合新趨勢,對民眾也有好處,不必為了處理太多App而 傷神 -- 一個APP成本都不一定有100萬了 檢測就要100萬... 而且以前也送過檢測,覺得根本啥屁用吧 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 210.64.53.9 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1506908955.A.2D2.html
10/02 10:12, 8年前 , 1F
你這心得 顯然對資安跟專案成本沒有sense
10/02 10:12, 1F
10/02 10:18, 8年前 , 2F
銀行App出現漏洞可不是100萬就能擺平的
10/02 10:18, 2F
10/02 10:27, 8年前 , 3F
100w測你金融的app,還不知道有誰願意擔這個責任勒
10/02 10:27, 3F
10/02 10:27, 8年前 , 4F
真的出包,賠償金額有機會破千萬甚至上億元...
10/02 10:27, 4F
10/02 10:41, 8年前 , 5F
都超過百萬好嗎。然後很多檢測是根本沒能力不懂怎麼檢測
10/02 10:41, 5F
10/02 10:41, 8年前 , 6F
iOS 做心酸的
10/02 10:41, 6F
我就做過銀行的app沒超過百萬還要送測的啊XD 不過送測試銀行端自行送測我不知道價錢就是了 只會收到測試回報
10/02 10:57, 8年前 , 7F
新聞想讓你覺得官商勾結,但以你的專業你真的認為不值
10/02 10:57, 7F
10/02 10:57, 8年前 , 8F
這個錢?
10/02 10:57, 8F
10/02 11:02, 8年前 , 9F
有點Sense吧 很多檢測設備都比製造設備貴6倍
10/02 11:02, 9F
10/02 11:02, 8年前 , 10F
寫自動化測試的Code 要有製造知識 真的測起來比寫Code還難
10/02 11:02, 10F
※ 編輯: tw689 (210.64.53.9), 10/02/2017 11:11:18
10/02 11:25, 8年前 , 11F
不要說送測,有的還會買開價幾百甚至上千萬的保護工具
10/02 11:25, 11F
10/02 12:09, 8年前 , 12F
可能是跟後台一起測吧,只測app是要測啥?測pocket injec
10/02 12:09, 12F
10/02 12:09, 8年前 , 13F
ted,flow security還說得過去,妓者無知當然只會說測app
10/02 12:09, 13F
10/02 12:18, 8年前 , 14F
ssl1.0先關一關吧
10/02 12:18, 14F
10/02 12:18, 8年前 , 15F
tls
10/02 12:18, 15F
10/02 12:43, 8年前 , 16F
內部就有白箱跟黑箱工具在掃弱點了
10/02 12:43, 16F
10/02 12:44, 8年前 , 17F
請外部來測 要clone完整的環境 給它測
10/02 12:44, 17F
10/02 17:00, 8年前 , 18F
曾經聽過某個廠商掃政府的web,只是用工具掃一掃
10/02 17:00, 18F
10/02 17:01, 8年前 , 19F
把工具的報告改成自己公司的style,結案
10/02 17:01, 19F
10/02 17:34, 8年前 , 20F
用工具掃沒什麼問題吧,如果合約就是這樣就可以的話
10/02 17:34, 20F
10/02 17:38, 8年前 , 21F
app檢測現在通常就是指依工業局行動應用App基本資安規範做
10/02 17:38, 21F
10/02 17:39, 8年前 , 22F
的吧,直接測正式版
10/02 17:39, 22F
10/02 21:45, 8年前 , 23F
你只算到你自己的部分 當然會覺得不用到到百位數.
10/02 21:45, 23F
10/02 21:46, 8年前 , 24F
檢測這種看你是單純掃描討報告 還是給人家玩真的
10/02 21:46, 24F
10/02 21:56, 8年前 , 25F
[把工具的報告改成自己公司的style,結案] 這在我的
10/02 21:56, 25F
10/02 21:58, 8年前 , 26F
前公司也一樣. 我用我的經驗補上一些工具沒測出來的
10/02 21:58, 26F
10/02 21:59, 8年前 , 27F
漏洞(主要是邏輯上的)時還被罵「別多事」呢... =_=
10/02 21:59, 27F
10/02 22:08, 8年前 , 28F
掃出來弱點就請各系統的建置商改,改完後承辦人問
10/02 22:08, 28F
10/02 22:08, 8年前 , 29F
確定都改完了厚,你們怎麼驗證沒問題了
10/02 22:08, 29F
10/02 22:08, 8年前 , 30F
因為我們知道他用哪套工具掃,我們改完再掃一次就ok了
10/02 22:08, 30F
10/02 22:09, 8年前 , 31F
承辦人才說,原來有工具可以掃的喔!…xd
10/02 22:09, 31F
10/02 22:12, 8年前 , 32F
若懂得對公務員"說話的藝術",一樣100萬,有的很好賺
10/02 22:12, 32F
10/03 10:11, 8年前 , 33F
檢測iOS通常是透過JB的手段 看你app的暫存檔
10/03 10:11, 33F
10/03 10:37, 8年前 , 34F
另一個就是看你 web request有沒有加密~
10/03 10:37, 34F
10/03 16:52, 8年前 , 35F
100萬測你一個 APP ,出包扛到死,這廠商已經很佛心了
10/03 16:52, 35F
10/03 16:53, 8年前 , 36F
你以為檢測問題比寫APP還簡單喔?? 沒做過資安?
10/03 16:53, 36F
10/03 20:15, 8年前 , 37F
檢測工具是當下已經公布的CVE去測
10/03 20:15, 37F
10/08 13:00, 8年前 , 38F
胡說的,單次才12萬左右
10/08 13:00, 38F
10/08 13:03, 8年前 , 39F
有owasp mobile 2016規範可以依循
10/08 13:03, 39F
10/09 13:52, 8年前 , 40F
App端到底需要測什麼 幾乎都是丟api 不如測後端的安
10/09 13:52, 40F
10/09 13:52, 8年前 , 41F
全性還比較實際
10/09 13:52, 41F
更多 tw689 的文章
文章代碼(AID): #1PqPiRBI (Soft_Job)
Soft_Job 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 tw689 的文章
文章代碼(AID): #1PqPiRBI (Soft_Job)