Apa manfaat program ini bagi developer?
Melakukan pengujian keamanan rutin terhadap aplikasi Anda dapat membantu mengidentifikasi kerentanan utama dalam aplikasi dan memitigasi risiko masalah pada masa mendatang. Google Play akan mengizinkan developer yang telah melalui validasi independen untuk menampilkannya di formulir Keamanan Data.
Apa manfaatnya bagi pengguna?
Pengguna dapat merasa yakin bahwa aplikasi telah diperiksa oleh pakar eksternal dan memiliki jaminan yang lebih tinggi tentang keamanan / keamanan penawaran tersebut.
Jenis aplikasi apa yang berlaku untuk program ini?
OWASP MASVS berlaku untuk aplikasi seluler apa pun. Ini mencakup berbagai kategori aplikasi, termasuk IoT, kebugaran/kesehatan, sosial, komunikasi, VPN, produktivitas, dan banyak lagi.
Apa cakupan penilaian?
Cakupan penilaian terdiri dari keamanan sisi klien, autentikasi ke layanan backend/cloud, dan konektivitas ke layanan backend/cloud yang melihat keamanan umum dan beberapa praktik terbaik privasi.
Jenis kasus pengujian apa yang akan dicakup dalam penilaian ini?
Penilaian akan meninjau subset persyaratan MASVS Level 1 yang dapat diuji dan tersedia di GitHub di sini.
Berapa lama masa berlaku sertifikat?
1 tahun. Setelah 1 tahun, developer bertanggung jawab untuk melakukan sertifikasi ulang aplikasinya.
Tingkat jaminan apa yang disediakan MASA dan apa perbedaan di antara tingkat tersebut?
MASA menawarkan dua tingkat jaminan: AL1, penilaian mandiri dengan pemindaian APK dan kuesioner, serta AL2, evaluasi lab komprehensif dengan analisis statis dan dinamis yang membuat aplikasi Anda mendapatkan badge "Peninjauan keamanan independen" di Play Store.
Berapa biayanya?
Biaya bervariasi bergantung pada partner lab, tetapi rata-rata biaya penilaian berkisar antara $3-6 ribu untuk AL2 dan $500 untuk AL1.
Berapa lama proses ini berlangsung?
Setelah melengkapi dokumen yang diperlukan, Anda dapat menerima penilaian dari lab dalam waktu 10 hari. Jangka waktu penyelesaian peninjauan ini dapat bervariasi bergantung pada masukan lab dan kemampuan tim Anda untuk menerapkan perubahan dengan cepat.
Siapa saja partner lab?
Google telah melakukan aktivasi serangkaian lab resmi untuk melakukan penilaian aplikasi. Semua lab resmi tersebut menyediakan pengujian keamanan yang komprehensif dan menawarkan layanan untuk mendapatkan sertifikasi berdasarkan standar yang kredibel.
Bagaimana cara memulainya?
Developer memiliki peluang untuk bekerja sama langsung dengan Lab Resmi untuk memulai proses pengujian. Biaya atau dokumen yang diperlukan akan ditangani langsung antara lab dan developer.
Dapatkah saya mengirimkan pengujian saya sendiri / menggunakan lab lain?
Saat ini, kami hanya menerima hasil penilaian dari partner lab resmi MASA. Jika Anda bekerja sama dengan lab yang tertarik untuk berpartisipasi dalam program ini, minta mereka untuk melengkapi formulir di sini.
Apakah pesaing saya akan melihat hasil pengujian saya? Apakah hasil pengujian saya akan dipublikasikan?
Hasil pengujian awal hanya akan dibagikan kepada tim Anda. Setelah aplikasi memenuhi semua persyaratan, lab akan mengirimkan ringkasan laporan ke Google yang akan tersedia secara publik di direktori MASA yang akan diluncurkan pada masa mendatang. Ringkasan laporan terbatas pada cakupan pengujian dan tidak menyertakan temuan sensitif yang terkait dengan aplikasi Anda. Anda memiliki kontrol penuh terkait kapan Anda ingin membuat hasil ini bersifat publik.
Apakah ada cara untuk menampilkannya di listingan Google Play kami?
Cara utama untuk menampilkannya kepada pengguna adalah melalui bagian Keamanan Data melalui badge keamanan. Opsi ini hanya tersedia untuk aplikasi yang menyelesaikan penilaian AL2. Kami sedang mempelajari cara untuk menampilkan informasi ini kepada lebih banyak pengguna di seluruh Play.
Berapa lama waktu yang diperlukan hingga hasil muncul di label Keamanan Data?
Setelah Anda memperbarui bagian Keamanan Data untuk menunjukkan bahwa aplikasi Anda telah "divalidasi secara independen", status ini akan muncul di label Keamanan Data dalam waktu satu minggu.
Bagaimana cara merujuk ke program ini secara eksternal?
Developer yang telah menyelesaikan sertifikasi dapat menyatakan bahwa mereka telah divalidasi secara independen melalui App Defense Alliance
Apakah developer harus mendapatkan sertifikasi ulang untuk setiap update atau rilis aplikasi mereka?
Tidak, sertifikasi MASA bersifat tahunan dan dimaksudkan sebagai evaluasi pada satu waktu. Developer harus terus mempertahankan kepatuhan melalui penilaian internal sebagai bagian dari siklus proses pengembangan keamanan mereka.
Siapa yang akan melacak persyaratan sertifikasi ulang tahunan untuk aplikasi ini, dan siapa yang akan memberi tahu developer saat masa berlaku sertifikasi mereka akan berakhir?
Developer bertanggung jawab untuk menjaga agar sertifikasinya tetap valid.
Apakah Google akan memiliki akses ke hasil atau temuan lab?
Google hanya menerima laporan validasi dari partner Lab Resmi yang menyatakan apakah aplikasi memenuhi persyaratan atau tidak. Tidak ada kode aplikasi, hasil pemindaian, atau temuan kerentanan yang dibagikan atau diungkapkan kepada Google sebagai bagian dari verifikasi.
Bagaimana jika saya tidak setuju dengan temuan lab / hasil penilaian?
Penilaian MASA dilakukan oleh lab resmi pihak ketiga. Jika tidak setuju dengan hasil penilaian atau memiliki pertanyaan terkait status kepatuhan Anda, Anda dapat mengajukan banding langsung ke lab yang memulai pengujian aplikasi Anda.
Bagaimana jika saya memublikasikan aplikasi untuk pertama kalinya?
Developer dapat mengirimkan build pra-rilis ke lab untuk pengujian awal, tetapi versi akhir yang disertifikasi harus berupa APK resmi yang dipublikasikan di Google Play Store.
Apakah lab dapat meninjau aplikasi saya jika di-obfuscate?
Obfuscation dapat mempersulit alat pengujian lab untuk menilai aplikasi Anda. Dalam hal ini, Anda mungkin diminta untuk mengirimkan aset tambahan ke lab untuk memfasilitasi pengujian, dan mungkin dikenai biaya tambahan.