מה הערך של התוכנית הזו למפתחים?
ביצוע בדיקות אבטחה קבועות עבור האפליקציה יכול לעזור לך לזהות את נקודות התורפה העיקריות באפליקציה שלך ולהקטין את החבות העתידית. ב-Google Play Play המפתחים יוכלו לעבור אימות עצמאי כדי להציג את המידע הזה בטופס אבטחת הנתונים.
מה היתרונות מבחינת המשתמשים?
המשתמשים יכולים לדעת בוודאות שהאפליקציות האלה נבדקו על ידי מומחים חיצוניים והביטחון שלהם גבוה יותר לגבי הבטיחות / האבטחה של המוצרים האלה.
אילו סוגים של אפליקציות רלוונטיים לתוכנית הזו?
OWASP MASVS רלוונטי לכל אפליקציה לנייד. זה כולל מגוון קטגוריות של אפליקציות, כולל IoT, כושר/בריאות, רשתות חברתיות, תקשורת, VPN, פרודוקטיביות ועוד.
מה היקף הבדיקה?
היקף ההערכה כולל אבטחה בצד הלקוח, אימות לשירות בקצה העורפי או בענן, וקישוריות לשירות העורפי/הענן לבדיקת אבטחה כללית ושיטות מומלצות לשמירה על פרטיות.
על איזה סוג מקרי בדיקה עוסק ההערכה הזו?
המבדק יבדוק קבוצת משנה של דרישות MASVS ברמה 1 שניתן לבדוק ב-GitHub.כאן
לכמה זמן האישור תקף?
שנה אחת. אחרי שנה, המפתח אחראי לאשר מחדש את האפליקציה שלו.
כמה זה עולה?
העמלות משתנות בהתאם לשותף בשיעור ה-Lab, אבל בממוצע אפשר לצפות שהעלות להמרה תהיה בין 3 ל-6,000 ש"ח.
כמה זמן נמשך התהליך?
אחרי שמשלימים את המסמכים הנדרשים, אפשר לגשת למבדק מתוך שיעור ה-Lab תוך 10 ימים. מסגרות הזמן להשלמת הניסוי עשויות להשתנות בהתאם למשוב בשיעור Lab וליכולת של הצוות שלך ליישם שינויים במהירות.
מיהם השותפים לשיעור ה-Lab?
Google הצטרפה לקבוצה של שיעורי Lab מורשים כדי להעריך את האפליקציה. כל שיעורי ה-Lab המורשים מספקים בדיקות אבטחה מקיפות ו מציעים למפתחים אמצעים לקבלת אישור כנגד תקנים שפורסמו.
איך מתחילים?
למפתחים יש הזדמנות לעבוד ישירות עם מעבדה מורשית כדי להתחיל את תהליך הבדיקה. כל העמלות או המסמכים הנדרשים יטופלו ישירות בין שיעור ה-Lab לבין המפתח.
אפשר לשלוח בדיקה שלי / להשתמש בשיעור Lab אחר?
בשלב זה, אנחנו מקבלים רק תוצאות הערכה משותפי שיעור ה-Lab המורשים של MASA. אם אתם עובדים עם מעבדה המעוניינת להשתתף בתוכנית, יש לבקש מהם למלא את הטופס כאן.
האם המתחרים שלי יראו את תוצאות הבדיקה שלי? האם תוצאות הבדיקה שלי יהיו גלויות לכול?
תוצאות הבדיקה הראשונית ישותפו רק עם הצוות שלך. לאחר שהאפליקציה תעמוד בכל הדרישות, בשיעור סיכום הדוחות מוגבל להיקף הבדיקה ואינו כולל ממצאים רגישים הקשורים לאפליקציה שלך. יש לך שליטה מלאה מתי ברצונך להפוך את התוצאות האלה לגלויות לכול.
האם יש דרך להציג את המידע הזה בדף האפליקציה שלנו ב-Google Play?
הדרך העיקרית שבה הדבר יוצג למשתמשים היא באמצעות סעיף אבטחת נתונים באמצעות תג אבטחה. אנחנו בוחנים דרכים להציג את המידע למשתמשים נוספים ב-Play.
האם חובה לקבל הסמכה לאפליקציות בחנות Google Play?
בשלב זה, אין לנו תוכניות להפוך את ההסמכה לחובה למפתחי אפליקציות.
כמה זמן לוקח לתוצאות להופיע בתווית בטיחות הנתונים?
לאחר עדכון הקטע 'בטיחות נתונים' כדי לציין שהאפליקציה שלך &אומתה; יש אינדיקציה באופן עצמאי
איך עליי לפנות לתוכנית הזו באופן חיצוני?
מפתחים שהשלימו את ההסמכה יכולים לציין שהם אומתו באופן עצמאי באמצעות The Defense Alliance