این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

سوالات متداول MASA

ارزش این برنامه برای توسعه دهندگان چیست؟

انجام آزمایش‌های امنیتی منظم برای برنامه‌تان می‌تواند به شما کمک کند آسیب‌پذیری‌های کلیدی برنامه خود را شناسایی کرده و مسئولیت‌های آینده را کاهش دهید. Google Play به توسعه دهندگانی که اعتبارسنجی مستقل را گذرانده اند این امکان را می دهد تا آن را در فرم ایمنی داده به نمایش بگذارند.

چه سودی برای کاربران دارد؟

کاربران می توانند مطمئن باشند که برنامه ها توسط کارشناسان خارجی بررسی شده اند و از ایمنی / امنیت آن پیشنهادات اطمینان بیشتری دارند.

چه نوع برنامه هایی برای این برنامه قابل اجرا هستند؟

OWASP MASVS برای هر برنامه تلفن همراه قابل اجرا است. این شامل انواع دسته بندی برنامه ها از جمله اینترنت اشیا، تناسب اندام/سلامت، اجتماعی، کام، VPN، بهره وری و بسیاری موارد دیگر است.

محدوده ارزیابی چیست؟

دامنه ارزیابی شامل امنیت سمت سرویس گیرنده، احراز هویت به سرویس باطنی/ابر، و اتصال به سرویس باطنی/ابر با نگاهی به امنیت عمومی و برخی بهترین شیوه های حفظ حریم خصوصی است.

این ارزیابی چه نوع موارد آزمایشی را پوشش می دهد؟

ارزیابی زیرمجموعه ای از الزامات MASVS سطح 1 قابل آزمایش موجود در Github را در اینجا بررسی می کند.

مدت اعتبار گواهینامه چقدر است؟

1 سال. پس از 1 سال، توسعه دهنده مسئول تأیید مجدد برنامه خود است.

MASA چه سطوح تضمینی را ارائه می دهد و چه تفاوتی بین آنها وجود دارد؟

MASA دو سطح اطمینان را ارائه می‌کند: AL1، خودارزیابی با اسکن و پرسشنامه APK، و AL2، ارزیابی آزمایشگاهی جامع با تجزیه و تحلیل استاتیک و پویا که نشان «بررسی امنیتی مستقل» را در فروشگاه Play به برنامه شما می‌دهد.

چقدر هزینه دارد؟

هزینه ها بسته به شریک آزمایشگاهی متفاوت است، اما به طور متوسط می توانید انتظار داشته باشید که ارزیابی بین 3 تا 6 هزار دلار برای AL2 و 500 دلار برای AL1 هزینه داشته باشد.

پروسه چقدر طول می کشد؟

هنگامی که مدارک لازم را تکمیل کردید، می توانید انتظار ارزیابی از آزمایشگاه را ظرف 10 روز داشته باشید. زمان بندی تکمیل بسته به بازخورد آزمایشگاه و توانایی تیم شما برای اجرای سریع تغییرات می تواند متفاوت باشد.

شرکای آزمایشگاه چه کسانی هستند؟

Google مجموعه‌ای از آزمایشگاه‌های مجاز را برای انجام ارزیابی‌های اپلیکیشن نصب کرده است. همه آزمایشگاه‌های مجاز تست‌های امنیتی جامعی را ارائه می‌کنند و به توسعه‌دهندگان ابزاری برای دریافت گواهینامه در برابر استانداردهای منتشر شده ارائه می‌دهند.

چگونه شروع کنم؟

توسعه دهندگان این فرصت را دارند که مستقیماً با یک آزمایشگاه مجاز کار کنند تا فرآیند آزمایش را آغاز کنند. هر گونه هزینه یا مدارک مورد نیاز مستقیماً بین آزمایشگاه و توسعه دهنده انجام می شود.

آیا می توانم آزمایش خود را ارسال کنم / از آزمایشگاه دیگری استفاده کنم؟

در حال حاضر، ما فقط نتایج ارزیابی را از شرکای آزمایشگاه مجاز MASA می پذیریم. اگر با آزمایشگاهی کار می کنید که علاقه مند به شرکت در برنامه است، لطفاً از آنها بخواهید فرم را در اینجا تکمیل کنند.

آیا رقبای من نتایج آزمون من را خواهند دید؟ آیا نتایج آزمایش من به اطلاع عموم خواهد رسید؟

نتایج اولیه آزمون فقط با تیم شما به اشتراک گذاشته خواهد شد. هنگامی که برنامه همه الزامات را برآورده کرد، آزمایشگاه خلاصه‌ای از گزارش را به Google ارسال می‌کند که در فهرست راه‌اندازی MASA در آینده در دسترس عموم قرار خواهد گرفت. خلاصه گزارش محدود به محدوده آزمایش است و هیچ یافته حساسی را در رابطه با برنامه شما در بر نمی گیرد. شما کنترل کاملی دارید که چه زمانی می خواهید این نتایج را عمومی کنید.

آیا راهی برای نمایش آن در فهرست Google Play ما وجود دارد؟

راه اصلی نمایش این موضوع برای کاربران از طریق بخش ایمنی داده از طریق نشان امنیتی است. این گزینه فقط برای برنامه هایی که ارزیابی AL2 را تکمیل کرده اند در دسترس است. ما در حال بررسی راه‌هایی برای نمایش این اطلاعات به کاربران بیشتری در سراسر Play هستیم.

چه مدت طول می کشد تا نتایج روی برچسب ایمنی داده نشان داده شود؟

هنگامی که بخش ایمنی داده خود را به‌روزرسانی کردید تا نشان دهید برنامه شما «به طور مستقل تأیید شده است»، نام آن ظرف یک هفته روی برچسب ایمنی داده‌های شما ظاهر می‌شود.

چگونه باید به این برنامه به صورت خارجی مراجعه کنم؟

توسعه دهندگانی که گواهینامه را تکمیل کرده اند می توانند بگویند که به طور مستقل از طریق App Defense Alliance تأیید شده اند

آیا یک توسعه‌دهنده باید برای هر به‌روزرسانی یا انتشار برنامه‌اش تأییدیه مجدد دریافت کند؟

خیر، گواهینامه MASA سالانه است و به عنوان ارزیابی لحظه ای در نظر گرفته شده است. توسعه دهندگان باید به حفظ انطباق از طریق ارزیابی های داخلی به عنوان بخشی از چرخه عمر توسعه امنیت خود ادامه دهند.

چه کسی الزامات صدور گواهینامه مجدد سالانه برای این برنامه ها را پیگیری می کند، و چه کسی به توسعه دهندگان اطلاع می دهد که گواهینامه آنها منقضی شود؟

این مسئولیت توسعه دهنده است که گواهینامه خود را معتبر نگه دارد.

آیا گوگل به هر یک از نتایج یا یافته های آزمایشگاهی دسترسی خواهد داشت؟

Google فقط یک گزارش تأیید اعتبار از شرکای مجاز آزمایشگاه دریافت می‌کند که نشان می‌دهد آیا این برنامه الزامات را برآورده می‌کند یا خیر. هیچ کد برنامه، نتایج اسکن، یا یافته‌های آسیب‌پذیری به عنوان بخشی از راستی‌آزمایی با Google به اشتراک گذاشته یا افشا نمی‌شود.

اگر با یافته‌های آزمایشگاهی/نتایج ارزیابی مخالفم چه کنم؟

ارزیابی های MASA توسط آزمایشگاه های مجاز شخص ثالث انجام می شود. اگر با نتایج ارزیابی موافق نیستید یا در مورد وضعیت انطباق خود سؤالی دارید، می‌توانید مستقیماً به آزمایشگاهی که آزمایش برنامه شما را آغاز کرده است درخواست تجدید نظر کنید.

اگر برای اولین بار درخواست خود را منتشر کنم چه می شود؟

توسعه‌دهندگان می‌توانند یک بیلد پیش از انتشار را برای آزمایش زودهنگام به آزمایشگاه ارسال کنند، اما نسخه نهایی و تایید شده باید APK رسمی منتشر شده در فروشگاه Google Play باشد.

آیا آزمایشگاه می‌تواند برنامه من را در صورت مبهم بودن بررسی کند؟

مبهم سازی می تواند ارزیابی درخواست شما را برای ابزارهای تست آزمایشگاهی دشوار کند. در این موارد، ممکن است از شما خواسته شود که دارایی های اضافی را برای تسهیل آزمایش به آزمایشگاه ها ارسال کنید و ممکن است هزینه های اضافی نیز متحمل شوید.