Jaka jest wartość tego programu dla deweloperów?
Przeprowadzanie testów zabezpieczeń aplikacji może pomóc w wykryciu kluczowych luk w jej działaniu i ograniczeniu odpowiedzialności w przyszłości. Google Play umożliwi programistom, którzy przeszli niezależną weryfikację, prezentowanie tych informacji w formularzu Bezpieczeństwa danych.
Jakie są tego korzyści dla użytkowników?
Użytkownicy mogą mieć pewność, że aplikacje zostały sprawdzone przez zewnętrznych ekspertów, co zwiększa ich bezpieczeństwo.
Jakie aplikacje kwalifikują się do tego programu?
OWASP MASVS ma zastosowanie do każdej aplikacji mobilnej. Obejmuje to różne kategorie aplikacji, takie jak IoT, fitness/zdrowy tryb życia, media społecznościowe, VPN, produktywność i wiele innych.
Jaki jest zakres ocen?
Zakres oceny obejmuje zabezpieczenia po stronie klienta, uwierzytelnianie w backendzie/usłudze w chmurze oraz połączenie z usługą backendu/chmury, które zapewnia ogólne bezpieczeństwo i sprawdzone metody ochrony prywatności.
Jakiego przypadku dotyczy test?
W ramach testu przeanalizujemy podzbiór wymagań MASVS poziomu 1, które można przetestować na GitHubie tutaj.
Jak długo certyfikat jest ważny?
1 rok. Po roku deweloper ponosi odpowiedzialność za ponowne certyfikowanie aplikacji.
Ile to kosztuje?
Opłaty różnią się w zależności od partnera laboratoryjnego, ale średnia wartość testu może wynosić od 3 do 6 tys. USD.
Ile czasu zajmuje ta procedura?
Po ukończeniu niezbędnych dokumentów możesz przystąpić do testu w ciągu 10 dni. Czas realizacji może różnić się w zależności od opinii modułu i możliwości szybkiego wdrożenia zmian przez zespół.
Kim są partnerzy modułu?
Wprowadziliśmy zestaw autoryzowanych modułów do przeprowadzania testów aplikacji. Wszystkie autoryzowane moduły zapewniają kompleksowe testy zabezpieczeń i umożliwiają deweloperom uzyskanie certyfikatu zgodnego z opublikowanymi standardami.
Jak zacząć?
Programiści mają możliwość bezpośredniej współpracy z autoryzowanym modułem w celu rozpoczęcia procesu testowania. Wszelkie opłaty i wymagane dokumenty będą przetwarzane bezpośrednio między modułem a deweloperem.
Czy mogę przesłać własny test lub użyć innego modułu?
Obecnie akceptujemy wyniki testów wyłącznie od autoryzowanych partnerów MASA. Jeśli współpracujesz z modułem, który chce wziąć udział w programie, poproś go o wypełnienie formularza tutaj.
Czy moi konkurenci widzą moje wyniki testów? Czy moje wyniki testu zostaną upublicznione?
Wstępne wyniki testu zostaną udostępnione tylko Twojemu zespołowi. Gdy aplikacja będzie spełniać wszystkie wymagania, moduł prześle do Google podsumowanie raportu, które zostanie udostępnione publicznie w przyszłym katalogu MASA. Podsumowanie raportu jest ograniczone do zakresu testowego i nie zawiera żadnych poufnych wyników związanych z Twoją aplikacją. Masz pełną kontrolę nad tym, kiedy chcesz udostępnić te wyniki.
Czy można to jakoś pokazać w informacjach o aplikacji w Google Play?
Podstawowym sposobem udostępnienia tej funkcji użytkownikom jest przejście przez sekcję Bezpieczeństwo danych przy użyciu plakietki zabezpieczeń. Sprawdzamy, jak zaprezentować te informacje większej liczbie użytkowników w Google Play.
Czy certyfikacja będzie obowiązkowa w przypadku aplikacji w Sklepie Google Play?
Nie planujemy wprowadzania certyfikacji dla deweloperów aplikacji.
Po jakim czasie zmiany pojawią się na etykiecie Bezpieczeństwo danych?
Gdy zaktualizujesz sekcję Bezpieczeństwo danych, aby wskazać, że Twoja aplikacja została „niezależna od weryfikacji” i jej oznaczenie pojawi się na etykiecie Bezpieczeństwo danych w ciągu tygodnia.
Jak należy się odnieść do tego programu na zewnątrz?
Deweloperzy, którzy uzyskali certyfikat, mogą potwierdzić, że są niezależni przez App Defense Alliance.