В чем ценность этой программы для разработчиков?
Выполнение регулярного тестирования безопасности вашего приложения может помочь вам выявить ключевые уязвимости в вашем приложении и снизить ответственность в будущем. Google Play позволит разработчикам, прошедшим независимую проверку, продемонстрировать это в форме безопасности данных.
Какая польза для пользователей?
Пользователи могут быть уверены, что приложения проверены внешними экспертами, и имеют более высокую уверенность в безопасности этих предложений.
Какие типы приложений подходят для этой программы?
OWASP MASVS применим к любому мобильному приложению. Это включает в себя различные категории приложений, включая IoT, фитнес/здоровье, социальные сети, связь, VPN, производительность и многие другие.
Что такое объем оценки?
Объем оценки включает безопасность на стороне клиента, аутентификацию в серверной/облачной службе и подключение к серверной/облачной службе с учетом общей безопасности и некоторых передовых методов обеспечения конфиденциальности.
Какие типы тестовых случаев охватит эта оценка?
В ходе оценки будет рассмотрен набор тестируемых требований MASVS уровня 1, доступных на Github здесь.
Сколько действует сертификат?
1 год. Через 1 год разработчик несет ответственность за повторную сертификацию своего приложения.
Сколько это стоит?
Плата варьируется в зависимости от партнера лаборатории, но в среднем вы можете ожидать, что оценка будет стоить от 3 до 6 тысяч долларов.
Сколько времени занимает процесс?
После того, как вы заполните необходимые документы, вы можете ожидать оценку от лаборатории в течение 10 дней. Сроки завершения могут варьироваться в зависимости от отзывов лаборатории и способности вашей команды быстро внедрять изменения.
Кто партнеры лаборатории?
Google подключил ряд авторизованных лабораторий для оценки приложений. Все авторизованные лаборатории проводят всестороннее тестирование безопасности и предлагают разработчикам возможность пройти сертификацию по опубликованным стандартам.
Как начать?
Разработчики имеют возможность работать напрямую с авторизованной лабораторией, чтобы инициировать процесс тестирования. Любые сборы или необходимые документы будут обрабатываться непосредственно между лабораторией и разработчиком.
Могу ли я отправить свой собственный тест / использовать другую лабораторию?
В настоящее время мы принимаем результаты оценки только от лабораторий, авторизованных MASA. Если вы работаете с лабораторией, которая заинтересована в участии в программе, попросите ее заполнить форму здесь .
Увидят ли мои конкуренты результаты моего теста? Будут ли результаты моего теста обнародованы?
Первоначальные результаты теста будут доступны только вашей команде. После того, как приложение будет соответствовать всем требованиям, лаборатория отправит в Google сводку отчета, которая будет общедоступна в каталоге MASA, который будет запущен в будущем. Сводка отчета ограничена областью тестирования и не включает никаких конфиденциальных результатов, связанных с вашим приложением. У вас есть полный контроль над тем, когда вы хотите сделать эти результаты общедоступными.
Есть ли способ продемонстрировать это в нашем списке Google Play?
Основной способ сообщить об этом пользователям — через раздел «Безопасность данных» с помощью значка безопасности. Мы ищем способы показать эту информацию большему количеству пользователей в Google Play.
Станет ли сертификация обязательной для приложений в магазине Google Play?
В настоящее время у нас нет планов сделать сертификацию обязательной для разработчиков приложений.
Сколько времени требуется, чтобы результаты появились на этикетке безопасности данных?
После того как вы обновите раздел «Безопасность данных», указав, что ваше приложение «прошло независимую проверку», это обозначение появится на ярлыке «Безопасность данных» в течение одной недели.
Как я должен обращаться к этой программе извне?
Разработчики, прошедшие сертификацию, могут заявить, что они прошли независимую проверку через Альянс защиты приложений.