Jakie korzyści z tego programu odnoszą deweloperzy?
Regularne testowanie aplikacji pod kątem bezpieczeństwa może pomóc w identyfikowaniu kluczowych luk w zabezpieczeniach aplikacji i zminimalizowaniu przyszłej odpowiedzialności. Google Play umożliwi deweloperom, którzy przeszli niezależną weryfikację, wyświetlanie tej informacji w formularzu Bezpieczeństwa danych.
Jakie korzyści mają z tego użytkownicy?
Użytkownicy mogą mieć pewność, że aplikacje zostały sprawdzone przez zewnętrznych ekspertów, a także że są one bezpieczne.
Jakie typy aplikacji kwalifikują się do udziału w tym programie?
Standard OWASP MASVS dotyczy wszystkich aplikacji mobilnych, w tym aplikacji z różnych kategorii, takich jak IoT, fitness/zdrowie, komunikacja, VPN, produktywność i wiele innych.
Jaki jest zakres oceny?
Zakres oceny obejmuje bezpieczeństwo po stronie klienta, uwierzytelnianie w usłudze backendowej lub w chmurze oraz łączność z usługą backendową lub chmurową z uwzględnieniem ogólnego bezpieczeństwa i niektórych najlepszych praktyk dotyczących prywatności.
Jakiego typu przypadki testowe obejmie ta ocena?
Ocena obejmie podzbiór wymagań MASVS poziomu 1 do przetestowania, dostępnych w GitHub tutaj.
Jak długo ważny jest certyfikat?
1 rok. Po upływie 1 roku deweloper musi ponownie uzyskać certyfikat dla aplikacji.
Jakie poziomy weryfikacji zapewnia MASA i czym się one różnią?
MASA oferuje 2 poziomy pewności: AL1, czyli samoocenę z skanowaniem pliku APK i wypełnieniem kwestionariusza, oraz AL2, czyli kompleksową ocenę w laboratorium z analizą statyczną i dynamiczną, która pozwala uzyskać aplikacji plakietkę „Niezależna weryfikacja bezpieczeństwa” w Google Play.
Ile to kosztuje?
Opłaty różnią się w zależności od partnera laboratorium, ale średnio koszt oceny to 3–6 tys. USD w przypadku AL2 i 500 USD w przypadku AL1.
Ile czasu zajmuje ta procedura?
Po wypełnieniu niezbędnych dokumentów możesz spodziewać się oceny laboratorium w ciągu 10 dni. Czas potrzebny na ukończenie może się różnić w zależności od opinii laboratorium i zdolności zespołu do szybkiego wdrażania zmian.
Kim są partnerzy laboratorium?
Google współpracuje z autoryzowanymi laboratoriami, które przeprowadzają oceny aplikacji. Wszystkie autoryzowane laboratoria zapewniają kompleksowe testy zabezpieczeń i oferują deweloperom możliwość uzyskania certyfikatu zgodnego z opublikowanymi standardami.
Jak zacząć?
Deweloperzy mogą inicjować proces testowania, kontaktując się bezpośrednio z autoryzowanym laboratorium. Wszelkie opłaty lub wymagane dokumenty będą regulowane bezpośrednio między laboratorium a deweloperem.
Czy mogę przesłać własny test lub skorzystać z innej firmy?
Obecnie akceptujemy tylko wyniki oceny od autoryzowanych partnerów firmy MASA. Jeśli współpracujesz z laboratorium, które chce wziąć udział w programie, poproś je o wypełnienie formularza tutaj.
Czy moi konkurenci będą mogli zobaczyć moje wyniki testu? Czy moje wyniki testu zostaną opublikowane?
Wyniki wstępnego testu zostaną udostępnione tylko Twojemu zespołom. Gdy aplikacja spełni wszystkie wymagania, laboratorium prześle do Google podsumowanie raportu, które będzie publicznie dostępne w katalogu MASA, który zostanie uruchomiony w przyszłości. Podsumowanie raportu jest ograniczone do zakresu testów i nie zawiera żadnych wrażliwych informacji związanych z Twoją aplikacją. Masz pełną kontrolę nad tym, kiedy chcesz udostępnić te wyniki publicznie.
Czy istnieje sposób na wyświetlenie tego w informacjach o aplikacji w Google Play?
Głównym sposobem wyświetlania tych informacji użytkownikom jest sekcja Bezpieczeństwo danych z plakietką bezpieczeństwa. Ta opcja jest dostępna tylko w przypadku aplikacji, które przeszły ocenę AL2. Sprawdzamy, jak wyświetlać te informacje większej liczbie użytkowników Google Play.
Ile czasu zajmuje wyświetlenie wyników na etykiecie bezpieczeństwa danych?
Gdy zaktualizujesz sekcję Bezpieczeństwo danych, aby wskazać, że aplikacja została „sprawdzona niezależnie”, w ciągu tygodnia pojawi się odpowiednia informacja na etykiecie Bezpieczeństwa danych.
Jak mam przedstawiać ten program na zewnątrz?
Deweloperzy, którzy przeszli certyfikację, mogą informować, że ich aplikacje zostały niezależnie zweryfikowane przez App Defense Alliance.
Czy deweloper musi ponownie uzyskać certyfikat w przypadku każdej aktualizacji lub wersji aplikacji?
Nie. Certyfikat MASA jest ważny przez rok i ma charakter oceny w określonym momencie. Deweloperzy powinni nadal przeprowadzać oceny wewnętrzne, aby aplikacja nadal spełniała wymagania w ramach cyklu zapewniania bezpieczeństwa.
Kto będzie śledzić roczne wymagania dotyczące ponownego certyfikowania tych aplikacji i kto będzie informować deweloperów o wygaśnięciu certyfikatu?
Deweloper jest odpowiedzialny za utrzymanie ważności certyfikatu.
Czy Google będzie mieć dostęp do wyników badań lub ustaleń?
Google otrzymuje od autoryzowanych laboratoriów tylko raport z weryfikacji, który informuje, czy aplikacja spełnia wymagania. W ramach weryfikacji nie udostępnia się Google żadnego kodu aplikacji, wyników skanowania ani informacji o lukach.
Co zrobić, jeśli nie zgadzam się z wynikami testów lub oceną?
Oceny MASA są przeprowadzane przez autoryzowane laboratoria zewnętrzne. Jeśli nie zgadzasz się z wynikami oceny lub masz pytania dotyczące stanu zgodności, możesz odwołać się bezpośrednio do laboratorium, które rozpoczęło testowanie Twojej aplikacji.
Co zrobić, jeśli publikuję aplikację po raz pierwszy?
Deweloperzy mogą przesłać do laboratorium wersję przedpremierową w celu wczesnego testowania, ale ostateczna wersja certyfikowana musi być oficjalnym pakietem APK opublikowanym w Google Play.
Czy laboratorium będzie mogło sprawdzić moją aplikację, jeśli ma zaciemniony kod?
Zaciemnianie może utrudnić narzędziom do testowania laboratoryjnego ocenę Twojej aplikacji. W takich przypadkach może być konieczne przesłanie dodatkowych zasobów do laboratoriów, aby ułatwić testowanie. Może to wiązać się z dodatkowymi opłatami.