מה הערך של התוכנית הזו למפתחים?
בדיקות אבטחה שוטפות של האפליקציה יכולות לעזור לכם לזהות נקודות חולשה עיקריות באפליקציה ולצמצם את האחריות העתידית. Google Play תאפשר למפתחים שעברו אימות עצמאי להציג את זה בטופס אבטחת הנתונים.
מה היתרון למשתמשים?
המשתמשים יכולים להיות בטוחים שהאפליקציות נבדקו על ידי מומחים חיצוניים, ויש להם ביטחון גבוה יותר לגבי הבטיחות והאבטחה של המוצרים האלה.
אילו סוגי אפליקציות רלוונטיים לתוכנית הזו?
OWASP MASVS רלוונטי לכל אפליקציה לנייד. הוא כולל מגוון קטגוריות של אפליקציות, כולל IoT, כושר/בריאות, רשתות חברתיות, תקשורת, VPN, פרודוקטיביות ועוד.
מה היקף הבדיקה?
ההיקף של ההערכה כולל אבטחה בצד הלקוח, אימות לשירות לקצה העורפי/לענן וקישוריות לשירות לקצה העורפי/לענן, תוך התמקדות באבטחה כללית ובחלק מהשיטות המומלצות לשמירה על הפרטיות.
אילו סוגי מקרי בדיקה יכללו בבדיקה הזו?
במסגרת הבדיקה נבדוק קבוצת משנה של דרישות MASVS ברמה 1 שניתן לבדוק, שזמינות ב-GitHub כאן.
למשך כמה זמן האישור תקף?
שנה אחת. אחרי שנה, המפתח אחראי לחדש את האישור של האפליקציה.
אילו רמות הבטחה MASA מספקת ומה ההבדל ביניהן?
ב-MASA יש שתי רמות הבטחה: AL1, הערכה עצמית עם סריקת APK ושאלון, ו-AL2, הערכה מקיפה במעבדה עם ניתוח סטטי ודינמי, שמאפשרת לקבל לאפליקציה את התג 'בדיקת אבטחה עצמאית' בחנות Play.
כמה זה עולה?
העמלות משתנות בהתאם לשותף המעבדה, אבל העלות הממוצעת של הבדיקה היא בין 3,000 ל-6,000 $ל-AL2, ובין 500 $ל-AL1.
כמה זמן נמשך התהליך?
לאחר השלמת הניירת הנדרשת, תקבלו הערכה מהמעבדה תוך 10 ימים. לוחות הזמנים להשלמה עשויים להשתנות בהתאם למשוב מהמעבדה וליכולת של הצוות להטמיע שינויים במהירות.
מי השותפים במעבדה?
Google גייסה קבוצה של מעבדות מורשות לבצע את הבדיקות של האפליקציות. כל המעבדות המורשות מספקות בדיקות אבטחה מקיפות ומציעות למפתחים את האמצעים לקבלת אישור בהתאם לתקנים שפורסמו.
איך מתחילים?
למפתחים יש אפשרות לעבוד ישירות עם מעבדה מורשית כדי להתחיל את תהליך הבדיקה. כל העמלות או המסמכים הנדרשים יטופלו ישירות בין המעבדה למפתח.
האם אפשר לשלוח בדיקה משלכם או להשתמש במעבדה אחרת?
בשלב זה אנחנו מקבלים תוצאות בדיקה רק משותפי המעבדה המורשים של MASA.
האם המתחרים שלי יוכלו לראות את תוצאות הבדיקה שלי? האם תוצאות הבדיקה שלי יהיו גלויות לכולם?
תוצאות הבדיקה הראשוניות ישותפו רק עם הצוות שלכם. אחרי שהאפליקציה תעמוד בכל הדרישות, צוות המעבדה ישלח ל-Google סיכום של הדוח, שיהיה זמין לכולם במאגר MASA שיושקה בעתיד. סיכום הדוח מוגבל להיקף הבדיקה ולא כולל ממצאים רגישים שקשורים לאפליקציה. יש לכם שליטה מלאה לגבי המועד שבו תרצו להפוך את התוצאות האלה לציבוריות.
יש לך אפשרות להציג את זה בדף המוצר שלנו ב-Google Play?
הדרך העיקרית שבה המשתמשים יראו את הסטטוס הזה היא דרך תג האבטחה שבקטע 'אבטחת נתונים'. האפשרות הזו זמינה רק לאפליקציות שעברו את הערכת AL2. אנחנו בודקים דרכים להציג את המידע הזה למשתמשים נוספים ב-Play.
כמה זמן לוקח עד שהתוצאות מופיעות בתווית של אבטחת הנתונים?
אחרי שתעדכנו את סעיף אבטחת הנתונים כך שיציין שהאפליקציה 'אומתה באופן עצמאי', ההגדרה הזו תופיע בתווית אבטחת הנתונים תוך שבוע.
איך צריך להתייחס לתוכנית הזו מחוץ לארגון?
מפתחים שהשלימו את תהליך האימות יכולים לציין שהאפליקציות שלהם עברו אימות עצמאי דרך App Defense Alliance
האם מפתחים צריכים לעבור שוב את תהליך האישור בכל עדכון או גרסה חדשה של האפליקציה?
לא, אישור MASA הוא אישור שנתי שנועד להערכה של רגע נתון. המפתחים צריכים להמשיך לשמור על תאימות באמצעות בדיקות פנימיות כחלק מתהליך מחזור החיים של פיתוח האבטחה.
מי יעקוב אחרי הדרישות השנתיות לחידוש ההסמכה של האפליקציות האלה, ומי יודיע למפתחים כשתוקף ההסמכה שלהם יפוג?
המפתחים אחראים על שמירת התוקף של ההסמכה שלהם.
האם ל-Google תהיה גישה לתוצאות או לממצאים של המעבדה?
Google מקבלת רק דוח אימות משותפי Authorized Lab, שמציין אם האפליקציה עומדת בדרישות או לא. לא מתבצעת שיתוף או חשיפת קוד האפליקציה, תוצאות הסריקה או ממצאי נקודות החולשה ל-Google במסגרת האימות.
מה קורה אם אני לא מסכים / ה עם הממצאים או עם תוצאות הבדיקה של ה-Labs?
הבדיקות של MASA מתבצעות במעבדות מורשות של צד שלישי. אם אתם לא מסכימים עם תוצאות הבדיקה או שיש לכם שאלות לגבי סטטוס התאימות שלכם, תוכלו לערער ישירות על הבדיקה של האפליקציה מול המעבדה שהתחילה את הבדיקה.
מה קורה אם מפרסמים את האפליקציה בפעם הראשונה?
מפתחים יכולים לשלוח גרסה טרום-שחרור למעבדה לבדיקה מוקדמת, אבל הגרסה הסופית שאושרה צריכה להיות חבילת ה-APK הרשמית שפורסמה בחנות Google Play.
האם צוות המעבדה יוכל לבדוק את האפליקציה שלי אם היא מעורפלת?
ערפול יכול להקשות על כלי בדיקות המעבדה להעריך את האפליקציה. במקרים כאלה, יכול להיות שתצטרכו לשלוח נכסים נוספים למעבדות כדי לאפשר בדיקה, וייתכן שתצטרכו לשלם עמלות נוספות.