このプログラムはデベロッパーにとってどのような価値がありますか?
アプリに対して定期的にセキュリティ テストを実施することで、アプリの主要な脆弱性を特定し、将来の責任を軽減できます。Google Play では、独立した検証を受けたデベロッパーがデータ セーフティ フォームでこれを提示できます。
ユーザーにはどのようなメリットがありますか。
ユーザーは、アプリが外部の専門家によって審査されていると確信し、これらのサービスの安全性とセキュリティをより正確に保証できます。
このプログラムの対象となるアプリの種類
OWASP MASVS は、あらゆるモバイルアプリに適用できます。これには、IoT、フィットネス/健康、ソーシャル、コミュニケーション、VPN、生産性など、さまざまなアプリカテゴリが含まれます。
評価の範囲を教えてください。
評価の範囲は、クライアント側のセキュリティ、バックエンド/クラウド サービスに対する認証、一般的なセキュリティとバックエンドのベスト プラクティスに関するバックエンド/クラウド サービスへの接続です。
この評価の対象となるテストケースのタイプ
この評価では、GitHub で入手可能なテスト可能なレベル 1 MASVS 要件のサブセットをこちらで確認します。
証明書の有効期間はどのくらいですか?
1 年。1 年後、デベロッパーはアプリを再認定する必要があります。
料金体系はどのようになっていますか?
料金はラボ パートナーによって異なりますが、平均で 3 ~ 6, 000 ドルの学費がかかることが予想されます。
手続きにはどのくらい時間がかかりますか?
必要な書類の提出後、10 日以内にラボで評価を受けることができます。完了までの期間は、ラボのフィードバックと、チームが変更を迅速に実装できるかどうかによって異なります。
ラボ パートナーとは
Google は、アプリの評価を行うために一連の承認済みラボをオンボーディングしています。すべての認定ラボは、包括的なセキュリティ テストを提供します。また、デベロッパーは公開された標準に対する認定を取得することもできます。
使用するにはどうすればよいですか?
デベロッパーは、認定ラボと直接連携してテストプロセスを開始できます。料金または必要な書類は、ラボとデベロッパーの間で直接処理されます。
独自のテストを送信したり、別のラボを使用したりすることはできますか?
現時点では、MASA 認定ラボ パートナーによる評価結果のみを受け付けています。プログラムへの参加に興味のあるラボの担当者の方は、こちらのフォームにご記入ください。
テスト結果は競合他社に表示されますか?テスト結果は一般公開されますか?
最初のテスト結果は、チームとのみ共有されます。 アプリがすべての要件を満たすと、ラボからレポートの概要が Google に送信され、リリース予定の MASA ディレクトリで一般公開されます。レポートの概要はテスト範囲に制限され、アプリに関連するプライベートな検出は含まれません。これらの結果をいつ公開するかについては、ユーザーが自由に管理できます。
Google Play ストアの掲載情報で紹介する方法はありますか?
ユーザーへの表示は主に、セキュリティ バッジによるデータ セーフティ セクションで行われます。Google は、Google Play でより多くのユーザーにこの情報をアピールする方法を模索しています。
Google Play ストアのアプリには認定が必須になりますか?
現時点では、アプリ デベロッパーに認定を必須にする予定はありません。
結果がデータ セーフティ ラベルに表示されるまでにどのくらいの時間がかかりますか?
データ セーフティ セクションを更新して、アプリが個別に検証を受けていることを示すと、1 週間以内にデータ セーフティ ラベルにその認定が表示されます。
このプログラムを社外から参照するにはどうすればよいですか?
認証を取得したデベロッパーは、App Defense Alliance を通じて独自に検証を受けたと言えます。