Qual è il valore di questo programma per gli sviluppatori?
Eseguire test di sicurezza regolari per la tua applicazione può aiutarti a identificare le vulnerabilità principali della tua app e a ridurre la responsabilità futura. Google Play consentirà agli sviluppatori che hanno superato la convalida indipendente di indicarlo nel modulo Sicurezza dei dati.
Quali sono i vantaggi per gli utenti?
Gli utenti possono essere certi che le app sono state sottoposte a verifica da parte di esperti esterni e avere una garanzia maggiore in merito alla sicurezza di queste offerte.
Quali tipi di app sono applicabili a questo programma?
OWASP MASVS è applicabile a qualsiasi app mobile. Sono incluse diverse categorie di app, tra cui IoT, fitness/salute, social, comunicazioni, VPN, produttività e molte altre.
Qual è l'ambito della valutazione?
L'ambito della valutazione è costituito dalla sicurezza lato client, dall'autenticazione al servizio di backend/cloud e dalla connettività al servizio di backend/cloud, tenendo conto della sicurezza generale e di alcune best practice per la privacy.
Quali tipi di casi di test verranno coperti da questa valutazione?
La valutazione esaminerà un sottoinsieme di requisiti MASVS di livello 1 verificabili disponibili su GitHub qui.
Per quanto tempo è valido il certificato?
1 anno. Dopo un anno, è responsabilità dello sviluppatore riaccreditare la propria app.
Quali livelli di affidabilità offre MASA e qual è la differenza tra loro?
MASA offre due livelli di garanzia: AL1, un'autovalutazione con scansione APK e questionario, e AL2, una valutazione completa in laboratorio con analisi statica e dinamica che consente alla tua app di ottenere il badge "Controllo della sicurezza indipendente" nel Play Store.
Quanto costa?
Le tariffe variano in base al partner del lab, ma in media la valutazione può costare tra 3000 e 6000 $per AL2 e 500 $per AL1.
Quanto dura la procedura?
Una volta completata la documentazione necessaria, puoi aspettarti una valutazione del laboratorio entro 10 giorni. I tempi di completamento possono variare in base al feedback del laboratorio e alla capacità del team di implementare rapidamente le modifiche.
Chi sono i partner del laboratorio?
Google ha integrato un insieme di laboratori autorizzati per eseguire le valutazioni delle app. Tutti gli Authorized Lab forniscono test di sicurezza completi e offrono agli sviluppatori i mezzi per ottenere la certificazione in base agli standard pubblicati.
Che cosa devo fare per iniziare?
Gli sviluppatori hanno la possibilità di lavorare direttamente con un Authorized Lab per avviare la procedura di test. Eventuali commissioni o documenti richiesti verranno gestiti direttamente tra il lab e lo sviluppatore.
Posso inviare il mio test / utilizzare un altro laboratorio?
Al momento accettiamo solo i risultati delle valutazioni dei partner di laboratorio autorizzati MASA.
I miei concorrenti vedranno i risultati del test? I risultati del test verranno resi pubblici?
I risultati del test iniziale verranno condivisi solo con il tuo team. Una volta che l'app avrà soddisfatto tutti i requisiti, il laboratorio invierà a Google un riepilogo del report che verrà reso disponibile pubblicamente in una directory MASA che verrà lanciata in futuro. Il riepilogo del report è limitato all'ambito del test e non include risultati sensibili relativi alla tua app. Hai il pieno controllo su quando rendere pubblici questi risultati.
Esiste un modo per mostrare questa funzionalità nella nostra scheda di Google Play?
Il modo principale in cui verrà mostrato agli utenti è tramite la sezione Sicurezza dei dati tramite un badge di sicurezza. Questa opzione è disponibile solo per le applicazioni che hanno completato la valutazione AL2. Stiamo esplorando modi per mostrare queste informazioni a un maggior numero di utenti su Play.
Quanto tempo occorre per visualizzare i risultati nell'etichetta Sicurezza dei dati?
Una volta aggiornata la sezione Sicurezza dei dati per indicare che la tua app è stata "confermata in modo indipendente", la designazione verrà visualizzata sull'etichetta Sicurezza dei dati entro una settimana.
Come faccio a fare riferimento a questo programma esternamente?
Gli sviluppatori che hanno completato la certificazione possono dichiarare di essere stati sottoposti a una convalida indipendente tramite l'App Defense Alliance
Uno sviluppatore deve ottenere la certificazione di nuovo per ogni aggiornamento o rilascio della sua app?
No, la certificazione MASA è annuale ed è pensata come una valutazione in un determinato momento. Gli sviluppatori devono continuare a mantenere la conformità tramite valutazioni interne nell'ambito del ciclo di vita dello sviluppo della sicurezza.
Chi terrà traccia dei requisiti di ricertificación annuale per queste app e chi avviserà gli sviluppatori quando la loro certificazione scadrà?
È responsabilità dello sviluppatore mantenere valida la certificazione.
Google avrà accesso ai risultati o ai risultati del laboratorio?
Google riceve solo un report di convalida dai partner di Authorized Lab che indica se l'app soddisfa o meno i requisiti. Nessun codice dell'applicazione, risultato della scansione o rilevamento di vulnerabilità viene condiviso o divulgato a Google nell'ambito della verifica.
Cosa succede se non sono d'accordo con i risultati del lab o della valutazione?
Le valutazioni MASA vengono eseguite da lab di terze parti autorizzati. Se non sei d'accordo con i risultati della valutazione o hai domande sullo stato della tua conformità, puoi presentare un ricorso direttamente al laboratorio che ha avviato i test della tua app.
Cosa succede se pubblico la mia applicazione per la prima volta?
Gli sviluppatori possono inviare al lab una build pre-release per i test iniziali, ma la versione finale certificata deve essere l'APK ufficiale pubblicato sul Google Play Store.
Il lab potrà esaminare la mia app se è offuscata?
L'oscuramento può rendere difficile per gli strumenti di test di laboratorio valutare la tua applicazione. In questi casi, potresti dover inviare asset aggiuntivi ai lab per facilitare i test e potresti dover pagare commissioni aggiuntive.