對此小編就根據自己的行業經驗,用同一款App的同一個版本對上面的6家App漏洞掃描工具進行了測試,寫出了自己的使用感受。希望大家看了能選擇出一款適合自己的App漏洞掃描工具。
一、檢測速度對比
先從檢測速度對比,檢測速度最快的屬于愛加密,基本上幾秒鐘就檢測完畢了,Testin云測和360次之,IBM的掃描速度稍微慢一些,騰訊和梆梆安全簡直太慢,基本上等了好幾個小時,沒有結果,騰訊的安全掃描貌似有bug,系統顯示5分鐘,結果等了2個小時還是處在掃描中,刷新后需要重新上傳掃描,懷疑有bug。從檢測速度對比來說,Testin云測和360的安全掃描速度比較適中,值得推薦。如果你還可以忍受,IBM的也可以做為備用推薦使用。
二、檢測結果對比
1.檢測報告概覽對比:
首先上面6家都能導出PDF報告,大部分是免費導出的,只有梆梆安全的需要收費或者認證才能導出,這個對新用戶的體驗不是很好,新用戶就不用要梆梆安全了。其次,再看各家報告的結果概覽,Testin云測的最為清晰,包含應用名稱,評分,風險分布柱狀圖,餅狀圖,檢測項,以及風險項,非常標準清晰,其他家的基本沒有柱狀圖和餅狀圖,主要是應用名稱和打分,以及風險數量;騰訊樂固的檢測報告沒有標騰訊樂固出的,對新用戶來說,只看報告都不知道是誰家的,會比較迷惑;IBM的最簡單,或者說最粗糙,基本就是出個風險數。綜合來說,Testin云測的檢測報告最為美觀。
2.監測點數量對比
接著對比檢測結果的檢測點數量,Testin云測,360加固保,愛加密都會在報告展示檢測點的數量,檢測了多少項,對開發者來說,有一個清晰的直觀的認識,而其他的基本是沒有的。在已經顯示檢測點數量的廠商中,Testin安全的檢測點數量是最多的,高達70項。可見Testin云測在對檢測點的數量優勢非常大,是其他家的一倍。檢測點越多,對App的問題也就更容易發現,這塊Testin云測的優勢非常明顯。
3.檢測報告結構對比
大致上各家的檢測報告的結構如下,都包含檢測概率或者預覽,其次是應用名稱以及信息,包含應用的權限信息,再次是風險信息,組件信息,漏洞信息等。結果概覽或預覽在上面的已經說過,Testin云測的最為美觀,下面我們說下,檢測報告的結構。
Testin云測的檢測報告結構比較清晰,除了應用信息已經包含了應用的權限信息,行為信息之外,還列了6個方面的分類風險。IBM的檢測結構太簡單,就給了個問題列表就結束了。可見不花錢基本上什么也看不到。梆梆安全的檢測結構,分類不是很清晰,主要是敏感詞和病毒掃描,風險評估,對新App來說,帶病毒的幾率比較小,除非開發人員電腦感染病毒,該病毒功能可能是針對已經上線的App,目的可能是為了加固服務而做的這個功能。騰訊的檢測結構也比較簡單,就4項,有一項包含廣告檢測,估計是方便應用上線應用所用的,這個很簡單的能看出為自身商店服務的目的,其他的漏洞和風險檢測都比較簡單。愛加密的檢測大部分為應用的信息,比如應用行為,應用權限等占了很大的部分,其次為加固服務的加殼識別,敏感行為,動態DEX檢測,組件檢測。
從檢測的結構來說,Testin云測、梆梆、愛加密的檢測項目最多也最全,IBM、騰訊樂固、360的檢測項目比較少。可能每家的分類不一樣,但是總的來說,主要是應用信息,風險信息,漏洞信息,組件信息、代碼信息等,具體開發者喜歡那種檢測結構,根據自己的喜好來定。如果從筆者的角度來看, Testin云測、梆梆的檢測結構是比較清晰,讓人容易理解。
4.檢測效果對比
上面列了檢測報告,檢測結構,檢測點,其實都不算是最重要的,最重要的是檢測效果的對比,即最能檢測出來問題才是最重要的,開發者使用安全掃描的最終目的是發現風險和問題,并解決問題,保障App上線后不會由于安全問題給公司或者用戶帶來風險。所以說檢測的結果才是App安全檢測的最核心的東西。
通過使用同一款App用各廠家的移動應用安全掃描進行檢測,發現檢測出高中風險問題的引擎是Testin云測的移動應用安全掃描系統,高風險有6條,中風險有13條,可以看出Testin云測移動應用安全掃描系統最能發現問題,梆梆安全的問題沒有歸類,給開發者的體驗不好,高低問題也不知道,360高風險的檢測數據是0,其他的風險占比基本都在百分之十幾。也就是說真正能找出問題的移動應用安全掃描系統的排名是Testin>愛加密>IBM>騰訊樂固>360加固保>梆梆。
接著說下各家檢測結果,對問題的解決上以及修復方案上來看,IBM的檢測結果只能看到基礎的問題,比如開發者的App是否有惡意漏洞,漏洞等級是高還是低,漏洞名稱,漏洞性質以及時間,但是如果要看詳細的代碼問題,需要付費。愛加密的檢測結果最快,但是從檢測的結果來看,主要是App的權限檢測和是否未加固檢測,是否做了代碼混淆檢測,可以看出其檢測的主要目的是為加固服務的,當然在風險的定義上給出了代碼行,但是并沒有給出具體的解決方案,只是對代碼的排列。梆梆安全的pdf導出都要付費,網頁版只能看到部分信息,這個對初級開發者來說比較苛刻。360的掃描結果也主要是結果的陳述,比如漏洞的名稱、性質等基礎信息,復雜的信息會給你一個參考鏈接進行二次跳轉進行查看,同時也給出了修復建議。騰訊的樂固也給出了修復建議和代碼行的定位,Testin的也給出代碼行,風險等級,修復建議,所以從解決問題方面來看,Testin云測,360加固保、騰訊樂固不錯,定位到代碼行,并給處具體的修復建議。
三、付費對比
下面說下幾家的費用對比,IBM屬于部分付費,掃描的基礎信息免費,但是掃描的詳細結果需要付費,360的掃描免費,Testin云測的試用版免費,試用版只能上傳兩個應用,認證后可以上傳多個應用,正式版和高級版要收費,梆梆安全的初級版本免費,高級版付費。
愛加密的免費,騰訊的免費。
四、用戶體驗對比
IBM的用戶體驗和國人的不相同,不熟悉的容易點到本地化部署上面,這個方面老外的想法和國人的想法確實不一樣。其他的梆梆安全、Testin移動應用掃描系統等都是官網注冊后,上傳應用安裝包即可,都是非常方便。
另外在本地化部署上面,除了360和騰訊樂固不支持本地化以外,其他的App漏洞掃描都支持本地化,這個對安全要求比較高的金融行業如銀行、保險等企業來說,非常重要。可見本地化是各個廠家都比較關注的功能。
五、綜合對比
通過對掃描時間、掃描結果、檢測結果、付費、用戶體驗等各個方面的對比來看,Testin移動應用安全掃描優于其他的安全掃描系統,對于一個App開發者來說,能客觀發現最多App的問題,并指出漏洞的詳細情況才是最重要的,同時兼顧時間和費用,滿足中小開發者的基本需求。愛加密檢測速度非常快,但是從整體上看主要為他們的加固服務做鋪墊,并沒有提出問題的具體修復方案。梆梆安全的初級版本發現的問題比較少,而且PDF導出都要付費,對中小開發者來說需要考慮預算。騰訊的檢測項目比較少,主要是廣告檢測和風險檢測,不知道廣告檢測目的是為何?也許是為其應用商店服務。IBM App Scan主要是外國人開發,對中國開發者來說不是太習慣,檢測的東西少而且需要付費,中小開發者不建議使用。360加固保的漏洞掃描也不錯,但是就是找到的問題太少,高風險的問題是零,如果開發者想要一個沒有問題的檢測,可以選擇360加固保。
站在開發者的角度,使用移動應用安全掃描的核心目的是找出App的風險和漏洞,加固沒有加固自己肯定知道,有沒有廣告也自己知道,找到的問題越多,對App開發者來說,上線后遇到的風險越少,這個才是最重要的。
由此可以得出對比結果:
Testin移動應用掃描>愛加密>騰訊樂固>IBM>360加固保>梆梆。Testin移動應用掃描系統能勝出,通過各個方面對比來看,可見Testin云測確實在漏洞掃描方面下了物力和人力,如果真要選擇一個質量好的漏洞掃描系統來說,還是推薦Testin移動應用掃描,高質量的試用版對小開發者來說,已經足夠了。
作者:移動互聯網李建華,微信:beijinghutuxiong,轉載請注明出處和作者。
