שאלות נפוצות בנושא MASA

בדיקות אבטחה שוטפות של האפליקציה יכולות לעזור לכם לזהות נקודות חולשה עיקריות באפליקציה ולצמצם את האחריות העתידית. Google Play תאפשר למפתחים שעברו אימות עצמאי להציג את זה בטופס אבטחת הנתונים.

המשתמשים יכולים להיות בטוחים שהאפליקציות נבדקו על ידי מומחים חיצוניים, ויש להם ביטחון גבוה יותר לגבי הבטיחות והאבטחה של המוצרים האלה.

OWASP MASVS רלוונטי לכל אפליקציה לנייד. הוא כולל מגוון קטגוריות של אפליקציות, כולל IoT, כושר/בריאות, רשתות חברתיות, תקשורת, VPN, פרודוקטיביות ועוד.

ההיקף של ההערכה כולל אבטחה בצד הלקוח, אימות לשירות לקצה העורפי/לענן וקישוריות לשירות לקצה העורפי/לענן, תוך התמקדות באבטחה כללית ובחלק מהשיטות המומלצות לשמירה על הפרטיות.

במסגרת הבדיקה נבדוק קבוצת משנה של דרישות MASVS ברמה 1 שניתן לבדוק, שזמינות ב-GitHub כאן.

שנה אחת. אחרי שנה, המפתח אחראי לחדש את האישור של האפליקציה.

ב-MASA יש שתי רמות הבטחה: AL1, הערכה עצמית עם סריקת APK ושאלון, ו-AL2, הערכה מקיפה במעבדה עם ניתוח סטטי ודינמי, שמאפשרת לקבל לאפליקציה את התג 'בדיקת אבטחה עצמאית' בחנות Play.

העמלות משתנות בהתאם לשותף המעבדה, אבל העלות הממוצעת של הבדיקה היא בין 3,000 ל-6,000 $ל-AL2, ובין 500 $ל-AL1.

לאחר השלמת הניירת הנדרשת, תקבלו הערכה מהמעבדה תוך 10 ימים. לוחות הזמנים להשלמה עשויים להשתנות בהתאם למשוב מהמעבדה וליכולת של הצוות להטמיע שינויים במהירות.

Google גייסה קבוצה של מעבדות מורשות לבצע את הבדיקות של האפליקציות. כל המעבדות המורשות מספקות בדיקות אבטחה מקיפות ומציעות למפתחים את האמצעים לקבלת אישור בהתאם לתקנים שפורסמו.

למפתחים יש אפשרות לעבוד ישירות עם מעבדה מורשית כדי להתחיל את תהליך הבדיקה. כל העמלות או המסמכים הנדרשים יטופלו ישירות בין המעבדה למפתח.

בשלב זה אנחנו מקבלים תוצאות בדיקה רק משותפי המעבדה המורשים של MASA.

תוצאות הבדיקה הראשוניות ישותפו רק עם הצוות שלכם. אחרי שהאפליקציה תעמוד בכל הדרישות, צוות המעבדה ישלח ל-Google סיכום של הדוח, שיהיה זמין לכולם במאגר MASA שיושקה בעתיד. סיכום הדוח מוגבל להיקף הבדיקה ולא כולל ממצאים רגישים שקשורים לאפליקציה. יש לכם שליטה מלאה לגבי המועד שבו תרצו להפוך את התוצאות האלה לציבוריות.

הדרך העיקרית שבה המשתמשים יראו את הסטטוס הזה היא דרך תג האבטחה שבקטע 'אבטחת נתונים'. האפשרות הזו זמינה רק לאפליקציות שעברו את הערכת AL2. אנחנו בודקים דרכים להציג את המידע הזה למשתמשים נוספים ב-Play.

אחרי שתעדכנו את סעיף אבטחת הנתונים כך שיציין שהאפליקציה 'אומתה באופן עצמאי', ההגדרה הזו תופיע בתווית אבטחת הנתונים תוך שבוע.

מפתחים שהשלימו את תהליך האימות יכולים לציין שהאפליקציות שלהם עברו אימות עצמאי דרך App Defense Alliance

לא, אישור MASA הוא אישור שנתי שנועד להערכה של רגע נתון. המפתחים צריכים להמשיך לשמור על תאימות באמצעות בדיקות פנימיות כחלק מתהליך מחזור החיים של פיתוח האבטחה.

המפתחים אחראים על שמירת התוקף של ההסמכה שלהם.

Google מקבלת רק דוח אימות משותפי Authorized Lab, שמציין אם האפליקציה עומדת בדרישות או לא. לא מתבצעת שיתוף או חשיפת קוד האפליקציה, תוצאות הסריקה או ממצאי נקודות החולשה ל-Google במסגרת האימות.

הבדיקות של MASA מתבצעות במעבדות מורשות של צד שלישי. אם אתם לא מסכימים עם תוצאות הבדיקה או שיש לכם שאלות לגבי סטטוס התאימות שלכם, תוכלו לערער ישירות על הבדיקה של האפליקציה מול המעבדה שהתחילה את הבדיקה.

מפתחים יכולים לשלוח גרסה טרום-שחרור למעבדה לבדיקה מוקדמת, אבל הגרסה הסופית שאושרה צריכה להיות חבילת ה-APK הרשמית שפורסמה בחנות Google Play.

ערפול יכול להקשות על כלי בדיקות המעבדה להעריך את האפליקציה. במקרים כאלה, יכול להיות שתצטרכו לשלוח נכסים נוספים למעבדות כדי לאפשר בדיקה, וייתכן שתצטרכו לשלם עמלות נוספות.