Welche Vorteile bietet dieses Programm für Entwickler?
Regelmäßige Sicherheitstests für Ihre Anwendung können Ihnen helfen, wichtige Sicherheitslücken in Ihrer App zu erkennen und zukünftige Haftungsrisiken zu minimieren. Entwickler, die eine unabhängige Validierung durchlaufen haben, können dies bei Google Play im Formular zur Datensicherheit angeben.
Welche Vorteile haben Nutzer?
Nutzer können sich darauf verlassen, dass die Apps von externen Experten geprüft wurden, und haben ein höheres Maß an Sicherheit in Bezug auf diese Angebote.
Für welche Arten von Apps gilt dieses Programm?
OWASP MASVS gilt für jede mobile App. Dazu gehören eine Vielzahl von App-Kategorien, darunter IoT, Fitness/Gesundheit, soziale Netzwerke, Kommunikation, VPN und Produktivität.
Was ist der Umfang der Bewertung?
Der Umfang der Bewertung umfasst die clientseitige Sicherheit, die Authentifizierung beim Backend-/Cloud-Dienst und die Verbindung zum Backend-/Cloud-Dienst unter Berücksichtigung der allgemeinen Sicherheit und einiger Best Practices für den Datenschutz.
Welche Art von Testfällen wird bei dieser Bewertung abgedeckt?
Bei der Bewertung wird eine Teilmenge der testbaren MASVS-Anforderungen der Stufe 1 geprüft, die auf GitHub verfügbar sind.
Wie lange ist das Zertifikat gültig?
1 Jahr. Nach einem Jahr ist der Entwickler für die erneute Zertifizierung seiner App verantwortlich.
Welche Zusicherungsstufen bietet MASA und was ist der Unterschied zwischen ihnen?
MASA bietet zwei Sicherheitsstufen: AL1, eine Selbstbewertung mit APK-Scan und Fragebogen, und AL2, eine umfassende Laborbewertung mit statischer und dynamischer Analyse, die Ihrer App im Play Store das Kennzeichen „Unabhängige Sicherheitsprüfung“ einbringt.
Wie hoch sind die Kosten?
Die Gebühren variieren je nach Lab Partner, aber im Durchschnitt können Sie mit Kosten zwischen 3.000 und 6.000 $für AL2 und 500 $für AL1 rechnen.
Wie lange dauert dieser Vorgang?
Sobald Sie die erforderlichen Unterlagen eingereicht haben, erhalten Sie innerhalb von 10 Tagen eine Bewertung vom Lab. Die Zeiträume für die Fertigstellung können je nach Feedback des Labs und der Fähigkeit Ihres Teams, Änderungen schnell umzusetzen, variieren.
Wer sind die Lab-Partner?
Google hat eine Reihe von autorisierten Labs für die App-Bewertungen eingerichtet. Alle autorisierten Labs bieten umfassende Sicherheitstests und ermöglichen es Entwicklern, sich nach veröffentlichten Standards zertifizieren zu lassen.
Was sind die ersten Schritte?
Entwickler können direkt mit einem autorisierten Labor zusammenarbeiten, um den Testprozess zu starten. Alle Gebühren oder erforderlichen Unterlagen werden direkt zwischen dem Lab und dem Entwickler abgewickelt.
Kann ich meinen eigenen Test einreichen oder ein anderes Lab verwenden?
Derzeit akzeptieren wir nur Bewertungsergebnisse von MASA-autorisierten Laborpartnern.
Können meine Mitbewerber meine Testergebnisse sehen? Werden meine Testergebnisse veröffentlicht?
Die ersten Testergebnisse werden nur mit Ihrem Team geteilt. Sobald die App alle Anforderungen erfüllt, sendet das Lab eine Zusammenfassung des Berichts an Google. Diese wird dann in einem zukünftigen MASA-Verzeichnis öffentlich zugänglich gemacht. Die Berichtsübersicht ist auf den Testumfang beschränkt und enthält keine vertraulichen Ergebnisse im Zusammenhang mit Ihrer App. Sie haben die volle Kontrolle darüber, wann Sie diese Ergebnisse veröffentlichen möchten.
Gibt es eine Möglichkeit, dies in unserem Google Play-Eintrag zu präsentieren?
Nutzer sehen diese Informationen hauptsächlich über ein Sicherheitssymbol im Abschnitt zur Datensicherheit. Diese Option ist nur für Anwendungen verfügbar, für die die AL2-Bewertung abgeschlossen wurde. Wir arbeiten daran, diese Informationen mehr Nutzern bei Google Play zur Verfügung zu stellen.
Wie lange dauert es, bis die Ergebnisse auf dem Datensicherheitslabel angezeigt werden?
Sobald Sie den Abschnitt zur Datensicherheit aktualisiert haben, um anzugeben, dass Ihre App „unabhängig geprüft“ wurde, wird die Kennzeichnung innerhalb einer Woche auf dem Label zur Datensicherheit angezeigt.
Wie sollte ich dieses Programm extern erwähnen?
Entwickler, die die Zertifizierung abgeschlossen haben, können angeben, dass ihre Apps unabhängig durch die App Defense Alliance validiert wurden.
Muss sich ein Entwickler für jedes Update oder jede Veröffentlichung seiner App noch einmal zertifizieren lassen?
Nein. Die MASA-Zertifizierung ist jährlich und soll als Momentaufnahme dienen. Entwickler sollten die Compliance durch interne Bewertungen im Rahmen des Sicherheitsentwicklungszyklus aufrechterhalten.
Wer überwacht die jährlichen Anforderungen an die Rezertifizierung dieser Apps und wer benachrichtigt die Entwickler, wenn ihre Zertifizierung abläuft?
Es liegt in der Verantwortung des Entwicklers, seine Zertifizierung aufrechtzuerhalten.
Hat Google Zugriff auf die Testergebnisse oder -erkenntnisse?
Google erhält nur einen Validierungsbericht von Authorized Lab-Partnern, in dem angegeben ist, ob die App die Anforderungen erfüllt oder nicht. Im Rahmen der Überprüfung werden keine Anwendungscodes, Scanergebnisse oder Sicherheitslücken an Google weitergegeben oder offengelegt.
Was kann ich tun, wenn ich mit den Ergebnissen des Labs oder der Bewertung nicht einverstanden bin?
MASA-Bewertungen werden von autorisierten Drittanbieter-Labs durchgeführt. Wenn Sie mit den Ergebnissen der Bewertung nicht einverstanden sind oder Fragen zum Status Ihrer Compliance haben, können Sie direkt Einspruch beim Lab einlegen, das die Tests Ihrer App initiiert hat.
Was ist, wenn ich meine App zum ersten Mal veröffentliche?
Entwickler können einen Pre-Release-Build für erste Tests an das Lab senden. Die finale, zertifizierte Version muss jedoch das offizielle APK sein, das im Google Play Store veröffentlicht wurde.
Kann das Lab meine App prüfen, wenn sie verschleiert ist?
Obfuscierung kann es für Lab-Testtools erschweren, Ihre Anwendung zu bewerten. In diesen Fällen müssen Sie möglicherweise zusätzliche Assets an die Labs senden, um die Tests zu ermöglichen. Außerdem können zusätzliche Gebühren anfallen.