MASA 常見問題

此計畫對開發人員有什麼價值?

定期對應用程式執行安全性測試有助於找出應用程式的主要安全漏洞,並降低日後的責任。Google Play 允許通過獨立驗證的開發人員在資料安全性表單中展示這項資訊。

對使用者有什麼好處?

使用者會覺得自己的應用程式已通過外部專家的認可,因此對這些產品的安全性 / 安全性更有保障。

這項計畫適合使用哪些類型的應用程式?

OWASP MASVS 適用於所有行動應用程式,包括 IoT、健身/保健、社交、通訊、VPN、生產力等多種應用程式類別。

評估的範圍為何?

評估範圍包括用戶端安全性、對後端/雲端服務的驗證,以及連結至一般安全性和部分隱私權最佳做法的後端/雲端服務連線。

本測驗涵蓋哪一種測試案例?

本評估將會審查 GitHub 上可測試的第 1 級 MASVS 需求條件。

憑證的效期有多長?

1 年。1 年後,開發人員必須負責重新驗證自己的應用程式。

所需費用是多少?

費用會因實驗室合作夥伴而異,但預計費用可能介於 $3 至 $6, 000 美元之間。

這項程序需要多久時間?

完成必要文書作業後,您會在 10 天內收到實驗室的評估結果。完成的時間範圍可視實驗室的意見回饋及您的團隊快速導入變更而定。

研究室合作夥伴是誰?

Google 已推出一組授權研究室來執行應用程式評估作業。所有已獲授權的研究室都提供全面的安全測試,同時讓開發人員取得依據所發布標準取得認證的方法。

如何開始使用?

開發人員有機會與授權實驗室直接合作,啟動測試程序。所有手續費或必要的文書作業都會直接在實驗室和開發人員之間處理。

我可以提交個人測驗 / 使用其他研究室嗎?

目前,我們只接受 MASA 授權實驗室合作夥伴的評量結果。如果您合作的實驗室想參與計劃,請讓他們填寫這裡的表單。

我的競爭對手會看到測試結果嗎? 我的檢測結果會公開嗎?

初步的測試結果只會提供給您的團隊。 應用程式符合所有要求後,研究室將向 Google 提交報告摘要,以便在日後推出的 MASA 目錄中公開。報告摘要範圍僅限測試範圍,不含與應用程式相關的任何敏感發現項目。您完全可以自行決定何時要公開這些結果。

有沒有方法可以在 Google Play 商店資訊中顯示此內容?

向使用者顯示資訊的主要方式,就是透過資料安全性專區透過資料安全性專區。我們正在探索如何向更多 Google Play 使用者展示這項資訊。

Google Play 商店的應用程式是否需要取得認證?

我們目前並未打算對應用程式開發人員強制申請認證。

結果需要多久時間才會出現在資料安全性標籤中?

在您更新資料安全性專區,指出您的應用程式「已通過獨立驗證」後,該資料會在一週內顯示在資料安全性標籤中。

該如何向外部推薦此計劃?

已完成認證的開發人員可以通過 App Defense Alliance 的獨立驗證