此计划对开发者有何价值?
定期为应用执行安全测试有助于您发现应用中的关键漏洞,并降低日后承担的责任。Google Play 将允许已通过独立验证的开发者在数据安全表单中展示这一点。
这对用户有何好处?
用户可以放心,这些应用已通过外部专家的审核,并且对这些产品 / 服务的安全性有更高的保障。
哪些类型的应用适用于此计划?
OWASP MASVS 适用于任何移动应用,包括物联网、健身/健康、社交、通讯、VPN、效率提升等各种应用类别。
评估范围是什么?
评估范围包括客户端安全性、对后端/云服务的身份验证以及与后端/云服务的连接,并着重于一般安全性和一些隐私权最佳实践。
此评估将涵盖哪些类型的测试用例?
该评估将审核 GitHub 此处提供的 MASVS 1 级部分可进行验证测试的要求。
证书的有效期是多久?
1 年。1 年后,开发者有责任重新认证其应用。
MASA 提供哪些保证级别?这些保证级别之间有何区别?
MASA 提供两个保证级别:AL1 是通过 APK 扫描和调查问卷进行的自评估;AL2 是通过静态和动态分析进行的全面实验室评估,可让您的应用在 Play 商店中获得“独立安全审核”徽章。
费用是多少?
费用因实验室合作伙伴而异,但平均而言,AL2 的评估费用在 3,000 到 6,000 美元之间,AL1 的评估费用在 500 美元左右。
验证过程需要多长时间?
您完成必要的文书工作后,实验室应该会在 10 天内完成评估。完成流程所需时间可能因实验室反馈和您的团队快速实施更改的能力而异。
实验室合作伙伴是谁?
Google 已引入一组授权实验室来执行应用评估。所有授权实验室都提供全面的安全测试,并为开发者提供根据已发布标准获得认证的方法。
应该怎么开始?
开发者有机会直接与授权实验室合作,启动测试流程。实验室和开发者需要直接处理所有费用或所需的文书工作。
我可以提交自己的测试 / 使用其他实验室吗?
目前,我们仅接受 MASA 授权的实验室合作伙伴提供的评估结果。
我的竞争对手能看到我的测试结果吗? 我的测试结果会公开吗?
初始测试结果只会与您的团队分享。 当应用满足所有要求后,实验室会向 Google 提交报告摘要,该摘要将在未来发布的 MASA 目录中公开发布。报告摘要仅限于测试范围,不会包含与您的应用相关的任何敏感发现。您可以完全控制何时公开这些结果。
有没有什么方法可以在 Google Play 商品详情中展示此信息?
向用户显示此信息的主要方式是通过“数据安全”部分显示安全徽章。此选项仅适用于已完成 AL2 评估的应用。我们正在探索如何向更多 Play 用户展示此类信息。
结果需要多长时间才能显示在数据安全标签中?
更新“数据安全”部分以表明您的应用已“通过独立验证”后,该标识将在一周内显示在您的数据安全标签中。
如何对外提及此计划?
已完成认证的开发者可以声明其应用已通过 App Defense Alliance 的独立验证
开发者是否必须在每次更新或发布应用时重新认证?
不可以,MASA 认证是每年进行一次的,旨在评估某个时间点的情况。开发者应在安全开发生命周期内通过内部评估来持续保持合规性。
谁将跟踪这些应用每年的重新认证要求?谁将在认证到期时通知开发者?
开发者有责任确保其认证有效。
Google 是否有权访问实验室的任何结果或发现?
Google 只会收到授权实验室合作伙伴发来的验证报告,其中说明应用是否符合相关要求。在验证过程中,我们不会向 Google 分享或披露任何应用代码、扫描结果或漏洞发现。
如果我不认同实验室发现 / 评估结果,该怎么办?
MASA 评估由第三方授权实验室执行。如果您对评估结果有异议,或者对合规性状态有疑问,可以直接向发起应用测试的实验室提出申诉。
如果我要首次发布应用,该怎么做?
开发者可以将预发布 build 提交到实验室进行早期测试,但最终获得认证的版本必须是发布在 Google Play 商店上的官方 APK。
如果我的应用经过了混淆处理,Test Lab 能否审核我的应用?
混淆处理可能会使实验室测试工具难以评估您的应用。 在这些情况下,您可能需要向实验室发送更多资源以协助测试,并且可能需要支付额外费用。