Perguntas Frequentes da MASA

Qual é o valor deste programa para os desenvolvedores?

A realização de testes de segurança regulares para seu aplicativo pode ajudá-lo a identificar as principais vulnerabilidades em seu aplicativo e reduzir a responsabilidade futura. O Google Play permitirá que desenvolvedores que passaram por validação independente mostrem isso no formulário de segurança de dados.

Qual é o benefício para os usuários?

Os usuários podem se sentir confiantes de que os aplicativos foram examinados por especialistas externos e têm uma garantia maior sobre a segurança dessas ofertas.

Quais tipos de aplicativos são aplicáveis ​​a este programa?

OWASP MASVS é aplicável a qualquer aplicativo móvel. Isso inclui uma variedade de categorias de aplicativos, incluindo IoT, fitness/saúde, social, comunicações, VPN, produtividade e muito mais.

Qual é o escopo da avaliação?

O escopo da avaliação consiste em segurança do lado do cliente, autenticação para o serviço de back-end/nuvem e conectividade com o serviço de back-end/nuvem, analisando a segurança geral e algumas práticas recomendadas de privacidade.

Que tipo de casos de teste essa avaliação abrangerá?

A avaliação revisará um subconjunto de requisitos MASVS de Nível 1 testáveis ​​disponíveis no Github aqui.

Qual a validade do certificado?

1 ano. Após 1 ano, o desenvolvedor é responsável por recertificar seu aplicativo.

Quanto custa isso?

As taxas variam dependendo do parceiro do laboratório, mas, em média, você pode esperar que a avaliação custe entre US $ 3-6K.

Quanto tempo demora o processo?

Depois de concluir a documentação necessária, você pode esperar uma avaliação do laboratório dentro de 10 dias. Os prazos para conclusão podem variar dependendo do feedback do laboratório e da capacidade de sua equipe de implementar mudanças rapidamente.

Quem são os parceiros do laboratório?

O Google integrou um conjunto de laboratórios autorizados para realizar as avaliações de aplicativos. Todos os laboratórios autorizados fornecem testes de segurança abrangentes e oferecem aos desenvolvedores os meios para obter a certificação de acordo com os padrões publicados.

Como eu começo?

Este programa está atualmente em beta fechado. Assim que o programa se torna publicamente disponível, os desenvolvedores têm a oportunidade de trabalhar diretamente com um laboratório autorizado para iniciar o processo de teste. Quaisquer taxas ou documentos necessários serão tratados diretamente entre o laboratório e o desenvolvedor.

Posso enviar meu próprio teste / usar um laboratório diferente?

Neste momento, só aceitamos resultados de avaliação de parceiros de laboratório autorizados pela MASA. Se você estiver trabalhando com um laboratório interessado em participar do programa, peça que preencham o formulário aqui .

Meus concorrentes verão os resultados dos meus testes? Os resultados do meu teste serão públicos?

Os resultados do teste inicial serão compartilhados apenas com sua equipe. Depois que o aplicativo atender a todos os requisitos, o laboratório enviará um resumo do relatório ao Google, que será disponibilizado publicamente no diretório MASA. Você tem controle total sobre quando deseja tornar esses resultados públicos.

Existe alguma maneira de mostrar isso em nossa listagem do Google Play?

Neste momento, não haverá uma designação na Play Store, mas ela pode ser mencionada em forma de texto na descrição da Play Store. Recomendamos que você evangelize sua participação por meio de seus próprios canais de marketing e site. No início de 2022, os desenvolvedores poderão mostrar a validação em sua seção de segurança de dados.

A certificação se tornará obrigatória para aplicativos na Google Play Store?

No momento, não temos planos de tornar a certificação obrigatória para desenvolvedores de aplicativos.

Quanto tempo leva para os resultados aparecerem na etiqueta de segurança de dados?

Depois de atualizar sua seção de segurança de dados para indicar que seu aplicativo foi "validado independentemente", a designação aparecerá em sua etiqueta de segurança de dados dentro de uma semana.

Como devo me referir a este programa externamente?

Os desenvolvedores que concluíram a certificação podem dizer que foram validados independentemente por meio da App Defense Alliance