Câu hỏi thường gặp về MASA

Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Giá trị của chương trình này đối với nhà phát triển là gì?

Việc thực hiện thử nghiệm bảo mật thường xuyên cho ứng dụng có thể giúp bạn xác định các lỗ hổng bảo mật chính trong ứng dụng của mình và giảm thiểu trách nhiệm pháp lý trong tương lai. Google Play sẽ cho phép các nhà phát triển đã trải qua quy trình xác thực độc lập hiển thị thông tin này trên Biểu mẫu An toàn dữ liệu.

Lợi ích của thay đổi này là gì?

Người dùng có thể cảm thấy tự tin rằng những ứng dụng này đã được các chuyên gia bên ngoài xem xét và có mức độ đảm bảo cao hơn về sự an toàn / tính bảo mật của các dịch vụ đó.

Chương trình này có áp dụng những loại ứng dụng nào?

OWASP MASVS có thể áp dụng cho mọi ứng dụng di động. Danh mục này bao gồm nhiều danh mục ứng dụng như IoT, thể dục/sức khỏe, xã hội, mạng xã hội, VPN, năng suất và nhiều danh mục khác.

Phạm vi đánh giá là gì?

Phạm vi của quá trình đánh giá bao gồm tính bảo mật phía máy khách, xác thực cho dịch vụ phụ trợ/đám mây và kết nối với dịch vụ phụ trợ/đám mây xem xét tính năng bảo mật chung và một số phương pháp hay nhất về quyền riêng tư.

Bài đánh giá này sẽ bao gồm những trường hợp thử nghiệm nào?

Bài đánh giá sẽ xem xét một phần các yêu cầu MASVS cấp 1 có thể thử nghiệm hiện có trên Github tại đây.

Chứng chỉ có hiệu lực trong bao lâu?

1 năm. Sau 1 năm, nhà phát triển có trách nhiệm chứng nhận lại ứng dụng của họ.

Chi phí là bao nhiêu?

Các khoản phí sẽ khác nhau tùy thuộc vào đối tác trong phòng thí nghiệm, nhưng tính trung bình, bạn có thể phải đánh giá chi phí từ 3 đến 6.000 đô la.

Quy trình này mất bao lâu?

Sau khi hoàn thành các công việc giấy tờ cần thiết, bạn có thể nhận được bài đánh giá trong phòng thí nghiệm trong vòng 10 ngày. Khung thời gian hoàn thành có thể thay đổi tùy thuộc vào phản hồi của phòng thí nghiệm và khả năng triển khai các thay đổi nhanh chóng của nhóm bạn.

Những đối tác phòng thí nghiệm là ai?

Google đã tham gia một nhóm các phòng thí nghiệm được ủy quyền để thực hiện việc đánh giá ứng dụng. Tất cả phòng thí nghiệm được ủy quyền đều cung cấp thử nghiệm bảo mật toàn diện và cung cấp cho nhà phát triển các phương tiện để có được giấy chứng nhận theo các tiêu chuẩn đã xuất bản.

Làm cách nào để bắt đầu?

Các nhà phát triển có cơ hội làm việc trực tiếp với Phòng thí nghiệm được ủy quyền để bắt đầu quy trình kiểm tra. Mọi khoản phí hoặc giấy tờ bắt buộc sẽ được xử lý trực tiếp giữa phòng thí nghiệm và nhà phát triển.

Tôi có thể gửi thử nghiệm của mình / dùng một phòng thí nghiệm khác không?

Hiện tại, chúng tôi chỉ chấp nhận kết quả đánh giá từ các đối tác phòng thí nghiệm được ủy quyền của MASA. Nếu bạn đang làm việc với một phòng thí nghiệm muốn tham gia chương trình, vui lòng yêu cầu họ điền vào biểu mẫu tại đây.

Đối thủ cạnh tranh có thấy kết quả thử nghiệm của tôi không? Kết quả xét nghiệm của tôi có bị công khai không?

Kết quả thử nghiệm ban đầu sẽ chỉ được chia sẻ với nhóm của bạn. Sau khi ứng dụng đáp ứng tất cả yêu cầu, phòng thí nghiệm đó sẽ gửi cho Google một bản tóm tắt báo cáo để công bố công khai trên thư mục MASA sắp ra mắt trong tương lai. Bản tóm tắt báo cáo chỉ có phạm vi thử nghiệm và không bao gồm bất kỳ kết quả phát hiện nhạy cảm nào liên quan đến ứng dụng của bạn. Bạn có toàn quyền kiểm soát thời điểm bạn muốn công khai những kết quả này.

Có cách nào để cho bạn xem thông tin này trên trang thông tin của chúng tôi trên Google Play không?

Bạn sẽ thấy thông tin chính mà người dùng thấy được thông qua mục An toàn dữ liệu thông qua huy hiệu bảo mật. Chúng tôi đang tìm cách cung cấp thông tin này cho nhiều người dùng hơn trên Play.

Việc chứng nhận có bắt buộc đối với các ứng dụng trong cửa hàng Google Play không?

Tại thời điểm này, chúng tôi chưa có kế hoạch bắt buộc chứng nhận đối với các nhà phát triển ứng dụng.

Mất bao lâu thì kết quả mới xuất hiện trên nhãn An toàn dữ liệu?

Sau khi bạn cập nhật Mục An toàn dữ liệu để cho biết ứng dụng của bạn đã được xác thực độc lập, việc chỉ định sẽ xuất hiện trên nhãn An toàn dữ liệu trong vòng một tuần.

Làm cách nào để tham khảo chương trình này ở bên ngoài?

Các nhà phát triển đã hoàn tất chứng nhận có thể cho biết rằng họ đã được xác thực độc lập thông qua Liên minh Quốc phòng ứng dụng