الأسئلة الشائعة حول MASA

ما هي قيمة هذا البرنامج للمطوّرين؟

يمكن أن يساعدك إجراء اختبارات أمان منتظمة لتطبيقك في تحديد الثغرات الرئيسية في تطبيقك والحدّ من المسؤولية المستقبلية. سيسمح Google Play للمطوّرين الذين اجتازوا عملية التحقّق المستقل بعرض ذلك في نموذج "أمان البيانات".

ما هي الفائدة التي يحصل عليها المستخدمون؟

يمكن للمستخدمين الشعور بالثقة في أنّ التطبيقات قد تم فحصها من قِبل خبراء خارجيين، وبالتالي ضمان أمان هذه العروض.

ما هي أنواع التطبيقات التي تنطبق عليها هذه السياسة؟

ينطبق معيار OWASP MASVS على أي تطبيق متوافق مع الأجهزة الجوّالة. ويشمل ذلك مجموعة متنوعة من فئات التطبيقات، بما في ذلك إنترنت الأشياء واللياقة البدنية/الصحة والتواصل وشبكات VPN والإنتاجية وغيرها الكثير.

ما هو نطاق التقييم؟

يتألف نطاق التقييم من الأمان من جهة العميل، ومصادقة الوصول إلى الخلفية/خدمة السحابة الإلكترونية، والاتصال بالخلفية/خدمة السحابة الإلكترونية، مع التركيز على الأمان العام وبعض أفضل الممارسات المتعلّقة بالخصوصية.

ما هو نوع حالات الاختبار التي سيغطيها هذا التقييم؟

سيراجع التقييم مجموعة فرعية من متطلبات MASVS القابلة للاختبار من المستوى 1 المتوفّرة على Github هنا.

ما هي مدة صلاحية الشهادة؟

سنة واحدة بعد مرور عام واحد، يتحمّل المطوّر مسؤولية إعادة اعتماد تطبيقه.

ما هي مستويات ضمان الامتثال التي يوفّرها MASA وما هو الفرق بينها؟

يقدّم برنامج تقييم أمان التطبيقات للأجهزة الجوّالة مستويَين من ضمان الامتثال: المستوى 1 (AL1)، وهو تقييم ذاتي يشمل فحص حِزم APK واستبيانًا، والمستوى 2 (AL2)، وهو تقييم شامل في المختبر يشمل التحليلَين الثابت والديناميكي، ما يمنح تطبيقك شارة "مراجعة أمان مستقلة" في "متجر Play".

ما تكلفة ذلك؟

تختلف الرسوم حسب شريك المختبر، ولكن في المتوسّط، يمكنك توقّع أن تتراوح تكلفة التقييم بين 3 و6 آلاف دولار أمريكي لبرنامج AL2 و500 دولار أمريكي لبرنامج AL1.

ما المدة التي تستغرِقها هذه العملية؟

بعد إكمال المستندات اللازمة، يمكنك توقّع تلقّي تقييم من العميل المختبر خلال 10 أيام. يمكن أن تختلف الأطر الزمنية لإكمال الاختبار حسب ملاحظات مختبر الاختبار وقدرة فريقك على تنفيذ التغييرات بسرعة.

من هم شركاء المختبر؟

لقد أعدت Google مجموعة من المختبرات المعتمَدة لإجراء تقييمات التطبيقات. توفّر جميع المختبرات المعتمَدة اختبارات أمان شاملة، وتوفر للمطوّرين وسائل الحصول على اعتماد وفقًا للمعايير المنشورة.

كيف أبدأ؟

تتوفّر للمطوّرين فرصة العمل مباشرةً مع مختبر مُعتمَد لبدء عملية الاختبار. سيتم التعامل مباشرةً بين المختبر والمطوّر بشأن أي رسوم أو مستندات مطلوبة.

هل يمكنني إرسال اختباري الخاص / استخدام مختبر مختلف؟

في الوقت الحالي، لا نقبل سوى نتائج التقييم من شركاء المختبرات المعتمَدين في MASA.

هل سيرى المنافسون نتائج اختباراتي؟ هل ستُنشر نتائج اختباري؟

لن تتم مشاركة نتائج الاختبار الأولية إلا مع فريقك. بعد استيفاء التطبيق لجميع المتطلبات، ستقدّم المختبرات تقريرًا مختصَرًا إلى Google ليتمّ نشره بشكل علني في دليل MASA الذي سيتم إطلاقه في المستقبل. يقتصر ملخّص التقرير على نطاق الاختبار ولا يتضمّن أي نتائج حسّاسة تتعلق بتطبيقك. ويمكنك التحكّم بشكل كامل في وقت نشر هذه النتائج للجميع.

هل هناك أي طريقة لعرض هذه المعلومات في بطاقة بياناتنا على Google Play؟

وسيتم عرض هذه المعلومات للمستخدمين بشكل أساسي من خلال قسم "أمان البيانات" عبر شارة أمان. لا يتوفّر هذا الخيار إلا للتطبيقات التي أكملت تقييم AL2. نحن نستكشف طرقًا لعرض هذه المعلومات للمزيد من المستخدمين على Play.

ما المدة التي يستغرقها ظهور النتائج في تصنيف "أمان البيانات"؟

بعد تعديل قسم "أمان البيانات" للإشارة إلى أنّه "تم التحقّق من تطبيقك بشكل مستقل"، ستظهر هذه العبارة في تصنيف "أمان البيانات" خلال أسبوع واحد.

كيف يمكنني الإشارة إلى هذا البرنامج خارجيًا؟

يمكن للمطوّرين الذين أكملوا عملية الحصول على الاعتماد أن يُعلنوا أنّه تم التحقّق منهم بشكل مستقل من خلال تحالف App Defense Alliance.

هل على المطوّر إعادة الحصول على الاعتماد لكل تحديث أو إصدار من تطبيقه؟

لا، شهادة MASA سنوية ومخصّصة لتقييم حالة التطبيق في وقت معيّن. على المطوّرين مواصلة الحفاظ على الامتثال من خلال التقييمات الداخلية كجزء من دورة تطوير إجراءات الأمان.

من سيتتبّع متطلبات إعادة الاعتماد السنوية لهذه التطبيقات، ومن سيُعلم المطوّرين عند انتهاء صلاحية اعتمادهم؟

يتحمّل المطوّر مسؤولية الحفاظ على صلاحية شهادته.

هل يمكن لشركة Google الوصول إلى أي من نتائج أو نتائج المختبر؟

لا تتلقّى Google سوى تقرير التحقّق من شركاء المختبرات المعتمَدة الذي يوضّح ما إذا كان التطبيق يستوفي المتطلّبات أم لا. لا تتم مشاركة أيّ رموز تطبيقات أو نتائج مسح ضوئي أو نتائج تقييم ثغرات الأمان مع Google كجزء من عملية إثبات الهوية.

ماذا لو كنت لا أوافق على نتائج الفحص أو التقييم؟

تُجري مختبرات خارجية مفوَّضة عمليات تقييم أمان تطبيقات الأجهزة الجوّالة (MASA). إذا كنت لا توافق على نتائج التقييم أو كانت لديك أسئلة بشأن حالة امتثالك، يمكنك تقديم طلب إعادة نظر مباشرةً إلى المختبر الذي بدأ اختبار تطبيقك.

ماذا لو كنت أنشر تطبيقي للمرة الأولى؟

يمكن للمطوّرين إرسال إصدار تجريبي إلى المختبر لإجراء اختبار مبكر، ولكن يجب أن يكون الإصدار النهائي المعتمَد هو حزمة APK الرسمية المنشورة على "متجر Google Play".

هل سيتمكن الفريق من مراجعة تطبيقي إذا كان مشوّشًا؟

يمكن أن تجعل عملية التشويش من الصعب على أدوات الاختبار في المختبر تقييم تطبيقك. في هذه الحالات، قد يُطلب منك إرسال مواد عرض إضافية إلى المختبرات لتسهيل الاختبار، وقد يتم تحصيل رسوم إضافية منك.