В чем ценность этой программы для разработчиков?
Регулярное тестирование безопасности вашего приложения может помочь вам выявить ключевые уязвимости в вашем приложении и снизить будущую ответственность. Google Play позволит разработчикам, прошедшим независимую проверку, продемонстрировать это в форме безопасности данных.
Какая польза для пользователей?
Пользователи могут быть уверены, что приложения проверены внешними экспертами, и имеют более высокую степень уверенности в безопасности этих предложений.
Какие типы приложений подходят для этой программы?
OWASP MASVS применим к любому мобильному приложению. Сюда входят различные категории приложений, включая Интернет вещей, фитнес/здоровье, социальные сети, связь, VPN, производительность и многие другие.
Какова сфера оценки?
Объем оценки включает безопасность на стороне клиента, аутентификацию на серверной/облачной службе и подключение к серверной/облачной службе с учетом общей безопасности и некоторых передовых методов обеспечения конфиденциальности.
Какие тестовые случаи будет охватывать эта оценка?
В ходе оценки будет рассмотрен подмножество проверяемых требований MASVS уровня 1, доступных на Github здесь.
Как долго действует сертификат?
1 год. Через 1 год разработчик несет ответственность за повторную сертификацию своего приложения.
Какие уровни гарантии обеспечивает MASA и в чем разница между ними?
MASA предлагает два уровня гарантии: AL1 — самооценка со сканированием APK и анкетой, а также AL2 — комплексная лабораторная оценка со статическим и динамическим анализом, позволяющая вашему приложению получить значок «Независимая проверка безопасности» в Play Store.
Сколько это стоит?
Плата варьируется в зависимости от лаборатории-партнера, но в среднем вы можете ожидать, что оценка будет стоить от 3 до 6 тысяч долларов для AL2 и 500 долларов для AL1.
Сколько времени занимает этот процесс?
После того, как вы оформите необходимые документы, вы можете ожидать оценки от лаборатории в течение 10 дней. Сроки завершения могут варьироваться в зависимости от отзывов лаборатории и способности вашей команды быстро внедрять изменения.
Кто партнеры лаборатории?
Google привлек ряд авторизованных лабораторий для проведения оценки приложений. Все авторизованные лаборатории проводят комплексное тестирование безопасности и предлагают разработчикам средства для получения сертификации на соответствие опубликованным стандартам.
Как мне начать?
Разработчики имеют возможность работать напрямую с авторизованной лабораторией, чтобы инициировать процесс тестирования. Любые сборы или необходимые документы будут обсуждаться непосредственно между лабораторией и разработчиком.
Могу ли я сдать свой собственный тест/использовать другую лабораторию?
В настоящее время мы принимаем результаты оценки только от авторизованных партнеров MASA.
Увидят ли мои конкуренты результаты моего теста? Будут ли результаты моего теста опубликованы?
Первоначальные результаты тестирования будут доступны только вашей команде. Как только приложение будет соответствовать всем требованиям, лаборатория отправит в Google сводку отчета, которая будет общедоступна в каталоге MASA, который будет запущен в будущем. Сводка отчета ограничена областью тестирования и не содержит каких-либо конфиденциальных данных, связанных с вашим приложением. Вы имеете полный контроль над тем, когда хотите опубликовать эти результаты.
Есть ли способ продемонстрировать это в нашем списке Google Play?
Основной способ сообщить об этом пользователям — через раздел «Безопасность данных» с помощью значка безопасности. Эта опция доступна только для приложений, прошедших оценку AL2. Мы изучаем способы показать эту информацию большему количеству пользователей Google Play.
Сколько времени потребуется, чтобы результаты появились на этикетке безопасности данных?
Как только вы обновите раздел «Безопасность данных», указав, что ваше приложение «прошло независимую проверку», это обозначение появится на вашей этикетке «Безопасность данных» в течение одной недели.
Как мне следует обращаться к этой программе извне?
Разработчики, прошедшие сертификацию, могут заявить, что они прошли независимую проверку App Defense Alliance.
Должен ли разработчик проходить повторную сертификацию для каждого обновления или выпуска своего приложения?
Нет, сертификация MASA является ежегодной и предназначена для оценки момента времени. Разработчикам следует продолжать поддерживать соответствие требованиям посредством внутренних оценок в рамках жизненного цикла разработки системы безопасности.
Кто будет отслеживать требования к ежегодной повторной сертификации для этих приложений и кто будет уведомлять разработчиков об истечении срока их сертификации?
Ответственность за поддержание своей сертификации в силе лежит на разработчике.
Будет ли Google иметь доступ к каким-либо результатам или выводам лабораторных исследований?
Google получает отчет о проверке только от партнеров авторизованной лаборатории, в котором указывается, соответствует ли приложение требованиям или нет. Никакой код приложения, результаты сканирования или обнаруженные уязвимости не передаются и не раскрываются Google в рамках проверки.
Что делать, если я не согласен с выводами лаборатории/результатами оценки?
Оценки MASA проводятся сторонними авторизованными лабораториями. Если вы не согласны с результатами оценки или у вас есть вопросы относительно статуса вашего соответствия, вы можете обратиться непосредственно в лабораторию, которая инициировала тестирование вашего приложения.
Что делать, если я публикую свое приложение впервые?
Разработчики могут отправить предварительную сборку в лабораторию для предварительного тестирования, но окончательная сертифицированная версия должна быть официальным APK, опубликованным в магазине Google Play.
Сможет ли лаборатория проверить мое приложение, если оно запутано?
Обфускация может затруднить оценку вашего приложения инструментами лабораторного тестирования. В этих случаях от вас может потребоваться отправить дополнительные ресурсы в лаборатории для облегчения тестирования, и за это может взиматься дополнительная плата.