Quel est l'intérêt de ce programme pour les développeurs ?
Effectuer des tests de sécurité réguliers pour votre application peut vous aider à identifier les principales failles de votre application et à atténuer votre responsabilité future. Google Play permettra aux développeurs ayant fait l'objet d'une validation indépendante de le signaler sur le formulaire Sécurité des données.
Quel est l'avantage pour les utilisateurs ?
Les utilisateurs peuvent être sûrs que les applications ont été examinées par des experts externes et avoir une assurance plus élevée quant à la sécurité de ces offres.
Quels types d'applications sont éligibles à ce programme ?
La norme MASVS de l'OWASP s'applique à toutes les applications mobiles, y compris les applications de diverses catégories, telles que l'IoT, la remise en forme/la santé, les réseaux sociaux, la communication, le VPN, la productivité, etc.
Quel est le champ d'application de l'évaluation ?
Le champ d'application de l'évaluation comprend la sécurité côté client, l'authentification au service backend/cloud et la connectivité au service backend/cloud, en examinant la sécurité générale et certaines bonnes pratiques en matière de confidentialité.
Quel type de cas de test cette évaluation couvrira-t-elle ?
L'évaluation examinera un sous-ensemble des exigences MASVS de niveau 1 testables disponibles sur GitHub ici.
Quelle est la durée de validité du certificat ?
1 an. Au bout d'un an, le développeur est tenu de recertifier son application.
Quels sont les niveaux d'assurance proposés par le MASA et quelle est la différence entre eux ?
Le MASA propose deux niveaux d'assurance: AL1, une auto-évaluation avec une analyse de l'APK et un questionnaire, et AL2, une évaluation complète en laboratoire avec une analyse statique et dynamique, qui permet à votre application de recevoir un badge "Examen de sécurité indépendant" sur le Play Store.
Combien coûte cette solution ?
Les frais varient selon le partenaire de l'atelier, mais en moyenne, l'évaluation coûte entre 3 000 et 6 000 $pour l'AL2 et 500 $pour l'AL1.
Combien de temps dure la procédure ?
Une fois que vous aurez rempli les documents nécessaires, vous devriez recevoir une évaluation de l'atelier dans un délai de 10 jours. Les délais de réalisation peuvent varier en fonction des commentaires du laboratoire et de la capacité de votre équipe à implémenter rapidement les modifications.
Qui sont les partenaires de l'atelier ?
Google a intégré un ensemble d'ateliers agréés pour effectuer les évaluations des applications. Tous les laboratoires agréés effectuent des tests de sécurité complets et offrent aux développeurs les moyens d'obtenir une certification conforme aux normes publiées.
Que dois-je faire pour commencer ?
Les développeurs peuvent travailler directement avec un laboratoire agréé pour lancer le processus de test. Les frais ou les documents requis seront gérés directement entre l'atelier et le développeur.
Puis-je envoyer mon propre test / utiliser un autre laboratoire ?
Pour le moment, nous n'acceptons que les résultats d'évaluation des laboratoires partenaires agréés par la MASA.
Mes concurrents verront-ils les résultats de mes tests ? Les résultats de mon test seront-ils rendus publics ?
Les résultats initiaux du test ne seront partagés qu'avec votre équipe. Une fois que l'application aura rempli toutes les conditions requises, l'atelier enverra un résumé de rapport à Google, qui sera mis à la disposition du public dans un répertoire MASA qui sera lancé à l'avenir. Le résumé du rapport est limité au champ d'application des tests et n'inclut aucune conclusion sensible concernant votre application. Vous avez le contrôle total sur le moment où vous souhaitez rendre ces résultats publics.
Est-il possible de le mettre en avant sur notre fiche Google Play ?
La principale façon dont cela sera présenté aux utilisateurs est via un badge de sécurité dans la section "Sécurité des données". Cette option n'est disponible que pour les applications ayant terminé l'évaluation AL2. Nous étudions des moyens de présenter ces informations à davantage d'utilisateurs sur Play.
Combien de temps faut-il pour que les résultats s'affichent sur l'étiquette Sécurité des données ?
Une fois que vous aurez modifié la section Sécurité des données pour indiquer que votre application a été "validée de manière indépendante", cette désignation apparaîtra sur votre libellé Sécurité des données dans un délai d'une semaine.
Comment dois-je faire référence à ce programme en externe ?
Les développeurs qui ont obtenu la certification peuvent indiquer qu'ils ont été validés de manière indépendante par l'App Defense Alliance.
Un développeur doit-il se faire recertifier pour chaque mise à jour ou version de son application ?
Non, la certification MASA est annuelle et vise à évaluer votre niveau à un moment donné. Les développeurs doivent continuer à maintenir la conformité grâce à des évaluations internes tout au long du cycle de vie de développement de la sécurité.
Qui tiendra compte des exigences de recertification annuelle pour ces applications et qui avertira les développeurs lorsque leur certification expirera ?
Il est de la responsabilité du développeur de maintenir sa certification valide.
Google aura-t-il accès aux résultats ou aux conclusions de l'étude ?
Google ne reçoit qu'un rapport de validation de la part des partenaires de laboratoire agréés indiquant si l'application répond aux exigences ou non. Aucun code d'application, résultat d'analyse ni résultat de recherche de failles n'est partagé ni divulgué à Google lors de la validation.
Que faire si je ne suis pas d'accord avec les résultats de l'analyse ?
Les évaluations MASA sont effectuées par des laboratoires tiers agréés. Si vous n'êtes pas d'accord avec les résultats de l'évaluation ou si vous avez des questions concernant l'état de votre conformité, vous pouvez faire appel directement auprès du laboratoire qui a lancé les tests de votre application.
Que faire si je publie mon application pour la première fois ?
Les développeurs peuvent envoyer une version préliminaire au laboratoire pour des tests anticipés, mais la version finale certifiée doit être l'APK officiel publié sur le Google Play Store.
L'atelier pourra-t-il examiner mon application si elle est obscurcie ?
L'obscurcissement peut rendre difficile l'évaluation de votre application par les outils de test en laboratoire. Dans ce cas, vous devrez peut-être envoyer des composants supplémentaires aux laboratoires pour faciliter les tests, et des frais supplémentaires peuvent s'appliquer.