App漏洞扫描哪家强？

对此小编就根据自己的行业经验，用同一款App的同一个版本对上面的6家App漏洞扫描工具进行了测试，写出了自己的使用感受。希望大家看了能选择出一款适合自己的App漏洞扫描工具。

一、检测速度对比

先从检测速度对比，检测速度最快的属于爱加密，基本上几秒钟就检测完毕了，Testin云测和360次之，IBM的扫描速度稍微慢一些，腾讯和梆梆安全简直太慢，基本上等了好几个小时，没有结果，腾讯的安全扫描貌似有bug，系统显示5分钟，结果等了2个小时还是处在扫描中，刷新后需要重新上传扫描，怀疑有bug。从检测速度对比来说，Testin云测和360的安全扫描速度比较适中，值得推荐。如果你还可以忍受，IBM的也可以做为备用推荐使用。

二、检测结果对比

1.检测报告概览对比：

首先上面6家都能导出PDF报告，大部分是免费导出的，只有梆梆安全的需要收费或者认证才能导出，这个对新用户的体验不是很好，新用户就不用要梆梆安全了。其次，再看各家报告的结果概览，Testin云测的最为清晰，包含应用名称，评分，风险分布柱状图，饼状图，检测项，以及风险项，非常标准清晰，其他家的基本没有柱状图和饼状图，主要是应用名称和打分，以及风险数量；腾讯乐固的检测报告没有标腾讯乐固出的，对新用户来说，只看报告都不知道是谁家的，会比较迷惑；IBM的最简单，或者说最粗糙，基本就是出个风险数。综合来说，Testin云测的检测报告最为美观。

2.监测点数量对比

接着对比检测结果的检测点数量，Testin云测，360加固保，爱加密都会在报告展示检测点的数量，检测了多少项，对开发者来说，有一个清晰的直观的认识，而其他的基本是没有的。在已经显示检测点数量的厂商中，Testin安全的检测点数量是最多的，高达70项。可见Testin云测在对检测点的数量优势非常大，是其他家的一倍。检测点越多，对App的问题也就更容易发现，这块Testin云测的优势非常明显。

3.检测报告结构对比

大致上各家的检测报告的结构如下，都包含检测概率或者预览，其次是应用名称以及信息，包含应用的权限信息，再次是风险信息，组件信息，漏洞信息等。结果概览或预览在上面的已经说过，Testin云测的最为美观，下面我们说下，检测报告的结构。

Testin云测的检测报告结构比较清晰，除了应用信息已经包含了应用的权限信息，行为信息之外，还列了6个方面的分类风险。IBM的检测结构太简单，就给了个问题列表就结束了。可见不花钱基本上什么也看不到。梆梆安全的检测结构，分类不是很清晰，主要是敏感词和病毒扫描，风险评估，对新App来说，带病毒的几率比较小，除非开发人员电脑感染病毒，该病毒功能可能是针对已经上线的App，目的可能是为了加固服务而做的这个功能。腾讯的检测结构也比较简单，就4项，有一项包含广告检测，估计是方便应用上线应用所用的，这个很简单的能看出为自身商店服务的目的，其他的漏洞和风险检测都比较简单。爱加密的检测大部分为应用的信息，比如应用行为，应用权限等占了很大的部分，其次为加固服务的加壳识别，敏感行为，动态DEX检测，组件检测。

从检测的结构来说，Testin云测、梆梆、爱加密的检测项目最多也最全，IBM、腾讯乐固、360的检测项目比较少。可能每家的分类不一样，但是总的来说，主要是应用信息，风险信息，漏洞信息，组件信息、代码信息等，具体开发者喜欢那种检测结构，根据自己的喜好来定。如果从笔者的角度来看， Testin云测、梆梆的检测结构是比较清晰，让人容易理解。

4.检测效果对比

上面列了检测报告，检测结构，检测点，其实都不算是最重要的，最重要的是检测效果的对比，即最能检测出来问题才是最重要的，开发者使用安全扫描的最终目的是发现风险和问题，并解决问题，保障App上线后不会由于安全问题给公司或者用户带来风险。所以说检测的结果才是App安全检测的最核心的东西。

通过使用同一款App用各厂家的移动应用安全扫描进行检测，发现检测出高中风险问题的引擎是Testin云测的移动应用安全扫描系统，高风险有6条，中风险有13条，可以看出Testin云测移动应用安全扫描系统最能发现问题，梆梆安全的问题没有归类，给开发者的体验不好，高低问题也不知道，360高风险的检测数据是0，其他的风险占比基本都在百分之十几。也就是说真正能找出问题的移动应用安全扫描系统的排名是Testin＞爱加密＞IBM＞腾讯乐固＞360加固保＞梆梆。

接着说下各家检测结果，对问题的解决上以及修复方案上来看，IBM的检测结果只能看到基础的问题，比如开发者的App是否有恶意漏洞，漏洞等级是高还是低，漏洞名称，漏洞性质以及时间，但是如果要看详细的代码问题，需要付费。爱加密的检测结果最快，但是从检测的结果来看，主要是App的权限检测和是否未加固检测，是否做了代码混淆检测，可以看出其检测的主要目的是为加固服务的，当然在风险的定义上给出了代码行，但是并没有给出具体的解决方案，只是对代码的排列。梆梆安全的pdf导出都要付费，网页版只能看到部分信息，这个对初级开发者来说比较苛刻。360的扫描结果也主要是结果的陈述，比如漏洞的名称、性质等基础信息，复杂的信息会给你一个参考链接进行二次跳转进行查看，同时也给出了修复建议。腾讯的乐固也给出了修复建议和代码行的定位，Testin的也给出代码行，风险等级，修复建议，所以从解决问题方面来看，Testin云测，360加固保、腾讯乐固不错，定位到代码行，并给处具体的修复建议。

三、付费对比

下面说下几家的费用对比，IBM属于部分付费，扫描的基础信息免费，但是扫描的详细结果需要付费，360的扫描免费，Testin云测的试用版免费，试用版只能上传两个应用，认证后可以上传多个应用，正式版和高级版要收费，梆梆安全的初级版本免费，高级版付费。

爱加密的免费，腾讯的免费。

四、用户体验对比

IBM的用户体验和国人的不相同，不熟悉的容易点到本地化部署上面，这个方面老外的想法和国人的想法确实不一样。其他的梆梆安全、Testin移动应用扫描系统等都是官网注册后，上传应用安装包即可，都是非常方便。

另外在本地化部署上面，除了360和腾讯乐固不支持本地化以外，其他的App漏洞扫描都支持本地化，这个对安全要求比较高的金融行业如银行、保险等企业来说，非常重要。可见本地化是各个厂家都比较关注的功能。

五、综合对比

通过对扫描时间、扫描结果、检测结果、付费、用户体验等各个方面的对比来看，Testin移动应用安全扫描优于其他的安全扫描系统，对于一个App开发者来说，能客观发现最多App的问题，并指出漏洞的详细情况才是最重要的，同时兼顾时间和费用，满足中小开发者的基本需求。爱加密检测速度非常快，但是从整体上看主要为他们的加固服务做铺垫，并没有提出问题的具体修复方案。梆梆安全的初级版本发现的问题比较少，而且PDF导出都要付费，对中小开发者来说需要考虑预算。腾讯的检测项目比较少，主要是广告检测和风险检测，不知道广告检测目的是为何？也许是为其应用商店服务。IBM App Scan主要是外国人开发，对中国开发者来说不是太习惯，检测的东西少而且需要付费，中小开发者不建议使用。360加固保的漏洞扫描也不错，但是就是找到的问题太少，高风险的问题是零，如果开发者想要一个没有问题的检测，可以选择360加固保。

站在开发者的角度，使用移动应用安全扫描的核心目的是找出App的风险和漏洞，加固没有加固自己肯定知道，有没有广告也自己知道，找到的问题越多，对App开发者来说，上线后遇到的风险越少，这个才是最重要的。

由此可以得出对比结果：

Testin移动应用扫描＞爱加密＞腾讯乐固＞IBM＞360加固保＞梆梆。Testin移动应用扫描系统能胜出，通过各个方面对比来看，可见Testin云测确实在漏洞扫描方面下了物力和人力，如果真要选择一个质量好的漏洞扫描系统来说，还是推荐Testin移动应用扫描，高质量的试用版对小开发者来说，已经足够了。

作者：移动互联网李建华，微信：beijinghutuxiong,转载请注明出处和作者。