ما هي قيمة هذا البرنامج للمطوّرين؟
يمكن أن يساعدك إجراء اختبارات أمان منتظمة لتطبيقك في تحديد الثغرات الأمنية الرئيسية في تطبيقك والحدّ من المسؤولية المستقبلية. سيسمح Google Play للمطوّرين الذين اجتازوا عملية التحقّق المستقلة بعرض ذلك في نموذج "أمان البيانات".
ما هي الفائدة التي يحصل عليها المستخدمون؟
يمكن للمستخدمين الشعور بالثقة في أنّ التطبيقات قد تم فحصها من قِبل خبراء خارجيين، كما يمكنهم الشعور بمزيد من الأمان بشأن هذه العروض.
ما هي أنواع التطبيقات التي تنطبق عليها هذه السياسة؟
ينطبق معيار OWASP MASVS على أي تطبيق متوافق مع الأجهزة الجوّالة، بما في ذلك مجموعة متنوعة من فئات التطبيقات، مثل إنترنت الأشياء واللياقة البدنية/الصحة والتواصل وشبكة VPN والإنتاجية وغيرها.
ما هو نطاق التقييم؟
يتألف نطاق التقييم من الأمان من جهة العميل، والمصادقة على الخدمة الخلفية/سحابة الخدمات، والاتصال بالخدمة الخلفية/سحابة الخدمات، مع التركيز على الأمان العام وبعض أفضل الممارسات المتعلّقة بالخصوصية.
ما هو نوع حالات الاختبار التي سيغطيها هذا التقييم؟
سيراجع التقييم مجموعة فرعية من متطلبات المستوى 1 من MASVS القابلة للاختبار والمتوفرة على Github هنا.
ما هي مدة صلاحية الشهادة؟
سنة واحدة. بعد مرور عام واحد، يتحمّل المطوّر مسؤولية إعادة اعتماد تطبيقه.
ما هي مستويات ضمان الامتثال التي يوفّرها تقييم أمان تطبيقات الأجهزة الجوّالة وما هو الفرق بينها؟
يقدّم برنامج تقييم أمان التطبيقات للأجهزة الجوّالة مستويَين من ضمان الامتثال: المستوى 1 (AL1)، وهو تقييم ذاتي يشمل فحص حِزم APK واستبيانًا، والمستوى 2 (AL2)، وهو تقييم شامل في المختبر يشمل التحليلَين الثابت والديناميكي، ما يمنح تطبيقك شارة "مراجعة أمان مستقلة" في "متجر Play".
ما تكلفة ذلك؟
تختلف الرسوم حسب شريك المختبر، ولكن في المتوسّط، يمكنك توقّع أن تتراوح تكلفة التقييم بين 3 و6 آلاف دولار أمريكي لبرنامج AL2 و500 دولار أمريكي لبرنامج AL1.
ما المدة التي تستغرِقها هذه العملية؟
بعد إكمال المستندات اللازمة، يمكنك توقّع تلقّي تقييم من العميل المختبر خلال 10 أيام. يمكن أن تختلف الأطر الزمنية لإكمال الاختبار استنادًا إلى ملاحظات مختبر الاختبار وقدرة فريقك على تنفيذ التغييرات بسرعة.
من هم شركاء المختبر؟
لقد أعدت Google مجموعة من المختبرات المعتمَدة لإجراء تقييمات التطبيقات. توفّر جميع المختبرات المعتمَدة اختبارات أمان شاملة، كما تهدف إلى تزويد المطوّرين بوسائل الحصول على اعتماد وفقًا للمعايير المنشورة.
كيف أبدأ؟
يمكن للمطوّرين العمل مباشرةً مع أحد المختبرات المعتمَدة لبدء عملية الاختبار. سيتم التعامل مباشرةً بين المختبر والمطوّر بشأن أي رسوم أو مستندات مطلوبة.
هل يمكنني إرسال اختباري الخاص / استخدام مختبر مختلف؟
في الوقت الحالي، لا نقبل سوى نتائج التقييم من شركاء المختبرات المعتمَدين في MASA. إذا كنت تعمل مع مختبر مهتم بالمشاركة في البرنامج، يُرجى توجيهه إلى ملء النموذج هنا.
هل سيرى المنافسون نتائج اختباراتي؟ هل ستصبح نتائج اختباري علنية؟
لن تتم مشاركة نتائج الاختبار الأولية إلا مع فريقك. بعد استيفاء التطبيق لجميع المتطلبات، سيرسل المختبر ملخصًا عن التقرير إلى Google ليتم إتاحة هذا الملخص للجميع في دليل MASA الذي سيتم إطلاقه في المستقبل. يقتصر ملخّص التقرير على نطاق الاختبار ولا يتضمّن أي نتائج حسّاسة تتعلق بتطبيقك. ويمكنك التحكّم بشكل كامل في وقت نشر هذه النتائج بشكل علني.
هل هناك طريقة لعرض هذه المعلومات في بطاقة بياناتنا على Google Play؟
وسيتم عرض هذه المعلومات للمستخدمين بشكل أساسي من خلال قسم "أمان البيانات" باستخدام شارة أمان. لا يتوفّر هذا الخيار إلّا للتطبيقات التي أكملت تقييم AL2. نحن نستكشف طرقًا لعرض هذه المعلومات للمزيد من المستخدمين على Play.
ما هي المدة التي يستغرقها ظهور النتائج في تصنيف "أمان البيانات"؟
بعد تعديل قسم "أمان البيانات" للإشارة إلى أنّه "تم التحقّق من تطبيقك بشكل مستقل"، سيظهر التصنيف في تصنيف "أمان البيانات" خلال أسبوع واحد.
كيف يمكنني الإشارة إلى هذا البرنامج خارجيًا؟
يمكن للمطوّرين الذين أكملوا عملية الحصول على الاعتماد أن يُعلنوا أنّه تم التحقّق منهم بشكل مستقل من خلال تحالف App Defense Alliance.
هل على المطوّر إعادة الحصول على شهادة الاعتماد لكل تحديث أو إصدار من تطبيقه؟
لا، شهادة اعتماد تقييم أمان تطبيقات الأجهزة الجوّالة هي شهادة سنوية ومخصّصة لتقييم حالة التطبيق في وقت معيّن. على المطوّرين مواصلة الحفاظ على الامتثال من خلال عمليات التقييم الداخلية كجزء من دورة تطوير مستوى الأمان.
من سيتتبّع متطلبات إعادة الاعتماد السنوية لهذه التطبيقات، ومن سيُعلم المطوّرين عند انتهاء صلاحية اعتمادهم؟
ويتحمل المطوّر مسؤولية الحفاظ على صلاحية شهادته.
هل يمكن لشركة Google الوصول إلى أي من النتائج أو النتائج المخبرية؟
لا تتلقّى Google سوى تقرير التحقّق من شركاء المختبرات المعتمَدة الذي يوضّح ما إذا كان التطبيق يستوفي المتطلبات أم لا. لا تتم مشاركة أي رمز تطبيق أو نتائج مسح ضوئي أو نتائج فحص ثغرات أمنية مع Google كجزء من عملية إثبات الهوية.
ماذا لو لم أوافق على نتائج الفحص أو التقييم؟
تُجري مختبرات خارجية مفوَّضة عمليات تقييم أمان تطبيقات الأجهزة الجوّالة. إذا كنت لا توافق على نتائج التقييم أو كانت لديك أسئلة بشأن حالة امتثالك، يمكنك تقديم طلب بإعادة النظر مباشرةً إلى المختبر الذي بدأ اختبار تطبيقك.
ماذا لو نشرتُ تطبيقي للمرة الأولى؟
يمكن للمطوّرين إرسال إصدار تجريبي إلى المختبر لإجراء اختبار مبكر، ولكن يجب أن يكون الإصدار النهائي المعتمَد هو حزمة APK الرسمية المنشورة على "متجر Google Play".
هل سيتمكّن الفريق من مراجعة تطبيقي إذا تم تشويشه؟
يمكن أن تجعل عملية التشويش من الصعب على أدوات الاختبار المختبري تقييم تطبيقك. في هذه الحالات، قد يُطلب منك إرسال مواد عرض إضافية إلى المختبرات لتسهيل الاختبار، وقد تُفرض عليك رسوم إضافية.