डेवलपर के लिए इस कार्यक्रम का क्या फ़ायदा है?
अपने ऐप्लिकेशन के लिए नियमित तौर पर सुरक्षा जांच करने से, आपको अपने ऐप्लिकेशन में मौजूद मुख्य जोखिम की पहचान करने और आने वाले समय में होने वाली ज़िम्मेदारी को कम करने में मदद मिल सकती है. Google Play, उन डेवलपर को डेटा सुरक्षा फ़ॉर्म पर यह जानकारी दिखाने की अनुमति देगा जिन्होंने डेटा सुरक्षा फ़ॉर्म की स्वतंत्र तौर पर पुष्टि करवाई है.
इससे उपयोगकर्ताओं को क्या फ़ायदा होगा?
उपयोगकर्ता भरोसा कर सकते हैं कि ऐप्लिकेशन की जांच बाहरी विशेषज्ञों ने की है और उनमें दी गई सुविधाओं की सुरक्षा के बारे में ज़्यादा भरोसा है.
इस कार्यक्रम के लिए किस तरह के ऐप्लिकेशन ज़रूरी हैं?
OWASP MASVS किसी भी मोबाइल ऐप्लिकेशन पर लागू होता है. इसमें कई तरह के ऐप्लिकेशन शामिल हैं, जैसे कि स्मार्ट डिवाइसों से जुड़ी सेवाएं, फ़िटनेस/सेहत, सोशल, कम्यूनिकेशन, वीपीएन, प्रोडक्टिविटी वगैरह.
आकलन का दायरा क्या है?
आकलन में क्लाइंट-साइड की सुरक्षा, बैकएंड/क्लाउड सेवा की पुष्टि, और बैकएंड/क्लाउड सेवा से कनेक्टिविटी शामिल है. इसमें सामान्य सुरक्षा और निजता के कुछ सबसे सही तरीकों को ध्यान में रखा जाता है.
इस आकलन में किस तरह के टेस्ट केस शामिल होंगे?
आकलन में, जांच के लिए उपलब्ध MASVS के लेवल 1 की ज़रूरी शर्तों के सबसेट की समीक्षा की जाएगी. ये ज़रूरी शर्तें, GitHub पर यहां उपलब्ध हैं.
सर्टिफ़िकेट कितने समय तक मान्य होता है?
एक साल. एक साल बाद, डेवलपर को अपने ऐप्लिकेशन को फिर से सर्टिफ़ाइड कराना होगा.
MASA, सुरक्षा के लिए पुष्टि करने के कौनसे लेवल उपलब्ध कराता है और उनके बीच क्या अंतर है?
MASA ने, सुरक्षा के लिए पुष्टि करने के दो लेवल तय किए हैं: AL1, APK स्कैन और सवालों की सूची के साथ खुद से जांच करना और AL2, स्टैटिक और डाइनैमिक विश्लेषण के साथ लैब में पूरी जांच करना. AL2 लेवल हासिल करने पर, आपके ऐप्लिकेशन को Play Store में "सुरक्षा की जांच स्वतंत्र तौर पर की गई है" बैज मिलता है.
इसकी क्या कीमत है?
शुल्क, लैब पार्टनर के हिसाब से अलग-अलग होते हैं. हालांकि, औसतन आपको जांच के लिए, AL2 के लिए 3 से 6 हज़ार डॉलर और AL1 के लिए 500 डॉलर चुकाने पड़ सकते हैं.
इस प्रोसेस में कितना समय लगता है?
ज़रूरी दस्तावेज़ सबमिट करने के बाद, आपको 10 दिनों के अंदर लैब से जांच का नतीजा मिल सकता है. लैब के सुझावों और आपकी टीम के बदलावों को तुरंत लागू करने की क्षमता के आधार पर, प्रोसेस पूरी होने में लगने वाला समय अलग-अलग हो सकता है.
लैब पार्टनर कौन हैं?
Google ने ऐप्लिकेशन का आकलन करने के लिए, अनुमति पा चुके कुछ लैब को शामिल किया है. अनुमति पा चुके सभी लैब, सुरक्षा जांच की पूरी सुविधाएं उपलब्ध कराते हैं. साथ ही, वे डेवलपर को पब्लिश किए गए स्टैंडर्ड के हिसाब से सर्टिफ़िकेट पाने का तरीका बताते हैं.
मैं इसका इस्तेमाल करना कैसे शुरू करूं?
डेवलपर के पास, टेस्टिंग की प्रोसेस शुरू करने के लिए, अनुमति पा चुके लैब के साथ सीधे तौर पर काम करने का विकल्प होता है. शुल्क या ज़रूरी दस्तावेज़ों से जुड़ी सभी जानकारी, लैब और डेवलपर के बीच सीधे तौर पर शेयर की जाएगी.
क्या मुझे अपना टेस्ट सबमिट करने या किसी दूसरी लैब का इस्तेमाल करने की अनुमति है?
फ़िलहाल, हम सिर्फ़ MASA से मान्यता पा चुके लैब पार्टनर के आकलन के नतीजे स्वीकार करते हैं.
क्या मेरे प्रतिस्पर्धियों को मेरे टेस्ट के नतीजे दिखेंगे? क्या मेरे टेस्ट के नतीजे सार्वजनिक किए जाएंगे?
जांच के शुरुआती नतीजे सिर्फ़ आपकी टीम के साथ शेयर किए जाएंगे. जब ऐप्लिकेशन सभी ज़रूरी शर्तें पूरी कर लेगा, तब लैब Google को एक रिपोर्ट की खास जानकारी सबमिट करेगा. इसे आने वाले समय में लॉन्च होने वाली MASA डायरेक्ट्री पर सार्वजनिक तौर पर उपलब्ध कराया जाएगा. रिपोर्ट की खास जानकारी, सिर्फ़ टेस्टिंग के दायरे तक सीमित होती है. इसमें आपके ऐप्लिकेशन से जुड़ी कोई संवेदनशील जानकारी शामिल नहीं होती. आपके पास यह तय करने का पूरा अधिकार होता है कि इन नतीजों को कब सार्वजनिक करना है.
क्या Google Play के स्टोर पेज पर इसे दिखाने का कोई तरीका है?
उपयोगकर्ताओं को यह जानकारी मुख्य रूप से, डेटा की सुरक्षा वाले सेक्शन में सुरक्षा बैज के ज़रिए दी जाएगी. यह विकल्प सिर्फ़ उन ऐप्लिकेशन के लिए उपलब्ध है जिन्होंने AL2 लेवल की जांच पूरी कर ली है. हम इस जानकारी को Play पर ज़्यादा से ज़्यादा उपयोगकर्ताओं को दिखाने के तरीकों पर काम कर रहे हैं.
डेटा की सुरक्षा वाले लेबल पर नतीजे दिखने में कितना समय लगता है?
डेटा की सुरक्षा वाले सेक्शन को अपडेट करने के बाद, यह जानकारी दिखेगी कि आपके ऐप्लिकेशन की "स्वतंत्र रूप से पुष्टि की गई है". यह जानकारी दिखने में एक हफ़्ता लगेगा.
मुझे इस प्रोग्राम को बाहरी लोगों से कैसे बताना चाहिए?
सर्टिफ़िकेट पाने वाले डेवलपर यह कह सकते हैं कि उनकी पुष्टि, App Defense Alliance ने स्वतंत्र रूप से की है
क्या डेवलपर को अपने ऐप्लिकेशन के हर अपडेट या रिलीज़ के लिए, फिर से सर्टिफ़िकेट लेना होगा?
नहीं, एमएएसए का सर्टिफ़िकेट सालाना दिया जाता है. इसका मकसद, किसी खास समय पर आपके कारोबार की सुरक्षा का आकलन करना है. डेवलपर को सुरक्षा से जुड़े डेवलपमेंट लाइफ़साइकल के तहत, इंटरनल असेस्मेंट की मदद से, नियमों का पालन करना जारी रखना चाहिए.
इन ऐप्लिकेशन के लिए, हर साल फिर से सर्टिफ़िकेट पाने की ज़रूरी शर्तों का ट्रैक कौन रखेगा और सर्टिफ़िकेट की समयसीमा खत्म होने पर, डेवलपर को कौन सूचना देगा?
अपने सर्टिफ़िकेट को मान्य रखना, डेवलपर की ज़िम्मेदारी है.
क्या Google के पास लैब के किसी भी नतीजे या जानकारी का ऐक्सेस होगा?
Google को सिर्फ़ आधिकारिक लैब पार्टनर से पुष्टि की रिपोर्ट मिलती है. इसमें यह जानकारी होती है कि ऐप्लिकेशन, ज़रूरी शर्तों को पूरा करता है या नहीं. पुष्टि करने के लिए, ऐप्लिकेशन कोड, स्कैन के नतीजे या कमज़ोरियों की जानकारी को Google के साथ शेयर या ज़ाहिर नहीं किया जाता.
अगर मुझे लैब की खोज के नतीजों / आकलन के नतीजों से सहमत नहीं होना है, तो क्या करना चाहिए?
MASA का आकलन, तीसरे पक्ष की अनुमति वाली लैब करती हैं. अगर आप आकलन के नतीजों से सहमत नहीं हैं या आपको अपने ऐप्लिकेशन के अनुपालन की स्थिति के बारे में कोई सवाल पूछना है, तो सीधे उस लैब से अपील करें जिसने आपके ऐप्लिकेशन की जांच शुरू की थी.
अगर मैं अपना ऐप्लिकेशन पहली बार पब्लिश करूं, तो क्या होगा?
डेवलपर, रिलीज़ से पहले का बिल्ड, जल्दी टेस्टिंग के लिए लैब में सबमिट कर सकते हैं. हालांकि, सर्टिफ़ाइड वर्शन, Google Play Store पर पब्लिश किया गया आधिकारिक APK होना चाहिए.
अगर मेरे ऐप्लिकेशन को गुप्त किया गया है, तो क्या लैब उसकी समीक्षा कर पाएगा?
कोड को छिपाने की वजह से, लैब टेस्टिंग टूल आपके ऐप्लिकेशन का आकलन नहीं कर पाते. ऐसे मामलों में, आपको टेस्टिंग की सुविधा देने के लिए, लैब को अतिरिक्त ऐसेट भेजनी पड़ सकती हैं. साथ ही, आपसे अतिरिक्त शुल्क भी लिया जा सकता है.