Apa manfaat program ini bagi developer?
Melakukan pengujian keamanan reguler untuk aplikasi dapat membantu Anda mengidentifikasi kerentanan utama di aplikasi dan memitigasi kewajiban di masa mendatang. Google Play akan mengizinkan developer yang telah melalui validasi independen untuk menampilkannya di formulir Keamanan Data.
Apa manfaatnya bagi pengguna?
Pengguna dapat merasa yakin bahwa aplikasi telah diperiksa oleh pakar eksternal dan memiliki jaminan yang lebih tinggi tentang keamanan / keamanan penawaran tersebut.
Jenis aplikasi apa yang berlaku untuk program ini?
OWASP MASVS berlaku untuk aplikasi seluler apa pun. Ini mencakup berbagai kategori aplikasi, termasuk IoT, kebugaran/kesehatan, sosial, komunikasi, VPN, produktivitas, dan banyak lagi.
Apa cakupan penilaian?
Cakupan penilaian terdiri dari keamanan sisi klien, autentikasi ke layanan backend/cloud, dan konektivitas ke layanan backend/cloud yang melihat keamanan umum dan beberapa praktik terbaik privasi.
Jenis kasus pengujian apa yang akan dicakup dalam penilaian ini?
Penilaian akan meninjau subset persyaratan MASVS Level 1 yang dapat diuji dan tersedia di GitHub di sini.
Berapa lama masa berlaku sertifikat?
1 tahun. Setelah 1 tahun, developer bertanggung jawab untuk melakukan sertifikasi ulang aplikasinya.
Tingkat jaminan apa yang disediakan MASA dan apa perbedaan di antara tingkat tersebut?
MASA menawarkan dua tingkat jaminan: AL1, penilaian mandiri dengan pemindaian APK dan kuesioner, serta AL2, evaluasi lab komprehensif dengan analisis statis dan dinamis yang akan membuat aplikasi Anda mendapatkan badge "Peninjauan keamanan independen" di Play Store.
Berapa biayanya?
Biaya bervariasi bergantung pada partner lab, tetapi rata-rata biaya penilaian berkisar antara $3-6.000 untuk AL2 dan $500 untuk AL1.
Berapa lama proses ini berlangsung?
Setelah menyelesaikan dokumen yang diperlukan, Anda dapat menerima penilaian dari lab dalam waktu 10 hari. Jangka waktu penyelesaian peninjauan ini dapat bervariasi bergantung pada masukan lab dan kemampuan tim Anda untuk menerapkan perubahan dengan cepat.
Siapa saja partner lab?
Google telah melakukan aktivasi serangkaian lab resmi untuk melakukan penilaian aplikasi. Semua lab resmi menyediakan pengujian keamanan yang komprehensif dan menawarkan cara bagi developer untuk mendapatkan sertifikasi berdasarkan standar yang dipublikasikan.
Bagaimana cara memulainya?
Developer memiliki peluang untuk bekerja sama langsung dengan Lab Resmi untuk memulai proses pengujian. Lab akan menginformasikan biaya atau dokumen yang diperlukan secara langsung kepada developer.
Dapatkah saya mengirimkan pengujian saya sendiri / menggunakan lab lain?
Saat ini, kami hanya menerima hasil penilaian dari partner lab resmi MASA.
Apakah pesaing saya akan melihat hasil pengujian saya? Apakah hasil pengujian saya akan dipublikasikan?
Hasil pengujian awal hanya akan dibagikan kepada tim Anda. Setelah aplikasi memenuhi semua persyaratan, lab akan mengirimkan ringkasan laporan ke Google yang akan tersedia untuk publik di direktori MASA yang akan diluncurkan pada masa mendatang. Ringkasan laporan terbatas pada cakupan pengujian dan tidak menyertakan temuan sensitif yang terkait dengan aplikasi Anda. Anda memiliki kontrol penuh terkait kapan Anda ingin membuat hasil ini bersifat publik.
Apakah ada cara untuk menampilkannya di listingan Google Play kami?
Cara utama untuk menampilkannya kepada pengguna adalah melalui bagian Keamanan Data melalui badge keamanan. Opsi ini hanya tersedia untuk aplikasi yang menyelesaikan penilaian AL2. Kami sedang mempelajari cara menampilkan informasi ini kepada lebih banyak pengguna di seluruh Play.
Berapa lama waktu yang diperlukan hingga hasil muncul di label Keamanan Data?
Setelah Anda memperbarui bagian Keamanan Data untuk menunjukkan bahwa aplikasi Anda telah "divalidasi secara independen", penetapan tersebut akan muncul di label Keamanan Data dalam waktu satu minggu.
Bagaimana cara saya merujuk program ini secara eksternal?
Developer yang telah menyelesaikan sertifikasi dapat menyatakan bahwa mereka telah divalidasi secara independen melalui App Defense Alliance
Apakah developer harus mendapatkan sertifikasi ulang untuk setiap update atau rilis aplikasi mereka?
Tidak, sertifikasi MASA bersifat tahunan dan dimaksudkan sebagai evaluasi pada satu waktu. Developer harus terus mempertahankan kepatuhan melalui penilaian internal sebagai bagian dari siklus proses pengembangan keamanan mereka.
Siapa yang akan melacak persyaratan sertifikasi ulang tahunan untuk aplikasi ini, dan siapa yang akan memberi tahu developer saat masa berlaku sertifikasi mereka akan berakhir?
Developer bertanggung jawab untuk menjaga agar sertifikasinya tetap valid.
Apakah Google akan memiliki akses ke hasil atau temuan lab?
Google hanya menerima laporan validasi dari partner Authorized Lab yang menyatakan apakah aplikasi memenuhi persyaratan atau tidak. Tidak ada kode aplikasi, hasil pemindaian, atau temuan kerentanan yang dibagikan atau diungkapkan kepada Google sebagai bagian dari verifikasi.
Bagaimana jika saya tidak setuju dengan temuan / hasil penilaian lab?
Penilaian MASA dilakukan oleh lab resmi pihak ketiga. Jika Anda tidak setuju dengan hasil penilaian atau memiliki pertanyaan terkait status kepatuhan Anda, Anda dapat mengajukan banding langsung ke lab yang memulai pengujian aplikasi Anda.
Bagaimana jika saya memublikasikan aplikasi untuk pertama kalinya?
Developer dapat mengirimkan build pra-rilis ke lab untuk pengujian awal, tetapi versi akhir yang disertifikasi harus berupa APK resmi yang dipublikasikan di Google Play Store.
Apakah lab dapat meninjau aplikasi saya jika di-obfuscate?
Obfuscation dapat mempersulit alat pengujian lab untuk menilai aplikasi Anda. Dalam hal ini, Anda mungkin diminta untuk mengirimkan aset tambahan ke lab untuk memfasilitasi pengujian, dan mungkin dikenai biaya tambahan.