這項計畫對開發人員有何價值?
定期執行應用程式安全性測試,有助於找出應用程式的重大安全漏洞,並減輕日後可能須承擔的責任。Google Play 會允許經過獨立驗證的開發人員,在資料安全性表單中顯示這項資訊。
使用者可享的優勢
使用者可以放心,這些應用程式已通過外部專家的審查,並且可確保這些產品的安全性。
哪些類型的應用程式適用這項計畫?
OWASP MASVS 適用於任何行動應用程式,包括物聯網、健身/健康、社群、通訊、VPN、生產力等多種應用程式類別。
評估範圍為何?
評估範圍包括用戶端安全性、後端/雲端服務的驗證,以及與後端/雲端服務的連線能力,以便瞭解一般安全性和部分隱私權最佳做法。
這項評估會涵蓋哪些類型的測試案例?
評估會審查 GitHub 上可測試的 MASVS 第 1 級要求子集,詳情請參閱這裡。
認證效期有多久?
1 年。1 年後,開發人員必須負責重新認證應用程式。
MASA 提供哪些保障等級,這些等級有何差異?
MASA 提供兩個保障等級:AL1 是透過 APK 掃描和問卷進行的自我評估,AL2 則是透過靜態和動態分析進行的全面性研究室評估,可讓您的應用程式在 Play 商店中獲得「獨立安全性審查」徽章。
所需費用是多少?
費用視實驗室合作夥伴而定,但平均而言,AL2 的評估費用約為 $3,000 到 $6,000 美元,AL1 則約為 $500 美元。
這項程序需要多久時間?
您填妥必要文件後,研究室會在 10 天內提供評估結果。完成審查所需的時間取決於研究室的意見回饋,以及開發人員進行修正的速度。
實驗室合作夥伴有哪些?
Google 已與多間授權研究室合作,共同進行應用程式評估作業。所有授權研究室均提供全面的安全性測試,讓開發人員可以根據已發布的標準取得認證。
如何開始使用?
開發人員可以直接與授權研究室合作,啟動測試程序。所有費用和必要文件將直接由研究室和開發人員協調處理。
我可以提交自己的檢測結果 / 使用其他實驗室嗎?
目前,我們只接受 MASA 授權實驗室合作夥伴的評估結果。如果您與有意參與計畫的研究室合作,請請對方填寫這份表單。
競爭對手是否可以看到我的測試結果? 我的測試結果會公開嗎?
初步測試結果只會分享給你的團隊。 應用程式符合所有規定後,研究室會向 Google 提交報告摘要,並在日後推出的 MASA 目錄中公開。報告摘要僅限於測試範圍,且不包含任何與應用程式相關的敏感發現。您可以完全控制何時要將這些結果公開。
是否有任何方法可以在 Google Play 商店資訊中顯示這項資訊?
向使用者顯示這項資訊的主要方式,是透過安全性徽章在「資料安全性」專區中顯示。這個選項僅適用於已完成 AL2 評估的應用程式。我們正在研究如何向更多 Play 使用者顯示這項資訊。
結果需要多久時間才會顯示在資料安全性標籤中?
一旦您更新資料安全性專區,指出應用程式已「完成獨立驗證」,「資料安全性」標籤就會在一週內顯示該徽章。
我應該如何向外部人士介紹這項計畫?
完成認證的開發人員可以宣稱已通過 App Defense Alliance 的獨立驗證
開發人員是否必須在每次更新或發布應用程式時重新認證?
否,MASA 認證是每年評估一次,開發人員應在安全開發生命週期內持續進行內部評估,以維持合規狀態。
誰會追蹤這些應用程式的年度重新認證規定,以及誰會在認證到期時通知開發人員?
開發人員有責任確保其認證有效。
Google 是否可以存取任何實驗室結果或研究成果?
Google 只會收到授權研究室合作夥伴提供的驗證報告,說明應用程式是否符合規定。驗證程序不會分享或向 Google 揭露任何應用程式程式碼、掃描結果或漏洞發現。
如果我對實驗室檢測結果 / 評估結果有異議,該怎麼辦?
MASA 評估是由第三方授權實驗室執行。如果您不同意評估結果,或對合規狀態有任何疑問,可以直接向發起應用程式測試的實驗室提出申訴。
如果我首次發布應用程式,該怎麼辦?
開發人員可以將預先發布版送交至實驗室,以便進行早期測試,但最終獲得認證的版本必須是發布在 Google Play 商店的官方 APK。
如果我的應用程式經過模糊處理,實驗室是否能審查?
模糊處理可能會讓實驗室測試工具難以評估應用程式。 在這種情況下,您可能需要向研究室傳送其他資產,以利測試,且可能會產生額外費用。