מה הערך של התוכנית הזו למפתחים?
בדיקות אבטחה סדירות של האפליקציה יכולות לעזור לכם לזהות נקודות חולשה עיקריות באפליקציה ולצמצם את האחריות העתידית. Google Play תאפשר למפתחים שעברו אימות עצמאי להציג את זה בטופס אבטחת הנתונים.
מה היתרונות למשתמשים?
המשתמשים יכולים להיות בטוחים שהאפליקציות נבדקו על ידי מומחים חיצוניים, ויש להם ביטחון גבוה יותר לגבי הבטיחות או האבטחה של המוצרים האלה.
אילו סוגי אפליקציות רלוונטיים לתוכנית הזו?
ה-MASVS של OWASP רלוונטי לכל אפליקציה לנייד. הוא כולל מגוון קטגוריות של אפליקציות, כולל IoT, כושר/בריאות, רשתות חברתיות, תקשורת, VPN, פרודוקטיביות ועוד.
מהו היקף הבדיקה?
ההיקף של הבדיקה כולל אבטחה מצד הלקוח, אימות לשירות לקצה העורפי/לענן וקישור לשירות לקצה העורפי/לענן, תוך התמקדות באבטחה הכללית ובחלק מהשיטות המומלצות לשמירה על הפרטיות.
אילו סוגי מקרי בדיקה יכללו בבדיקת היכולות?
במסגרת הבדיקה נבחן קבוצת משנה של דרישות MASVS ברמה 1 שאפשר לבדוק, שזמינות ב-GitHub כאן.
לכמה זמן האישור תקף?
שנה אחת. אחרי שנה, המפתח אחראי לחדש את האישור של האפליקציה.
אילו רמות ודאות זמינות ב-MASA ומה ההבדל ביניהן?
במסגרת MASA יש שני רמות הבטחה: AL1, הערכה עצמית עם סריקה של קובץ APK ושאלון, ו-AL2, הערכה מקיפה במעבדה עם ניתוח סטטי ודינמי, שמאפשרת לקבל לאפליקציה את התג 'בדיקת אבטחה עצמאית' בחנות Play.
כמה זה עולה?
העמלות משתנות בהתאם לשותף המעבדה, אבל העלות הממוצעת של הבדיקה היא בין 3,000 ל-6,000 $ל-AL2, ובין 500 $ל-AL1.
כמה זמן נמשך התהליך?
לאחר השלמת הניירת הנדרשת, תקבלו הערכה מהמעבדה תוך 10 ימים. לוחות הזמנים להשלמה עשויים להשתנות בהתאם למשוב מהמעבדה וליכולת של הצוות להטמיע שינויים במהירות.
מי השותפים במעבדה?
Google גייסה קבוצה של מעבדות מורשות לבצע את הבדיקות של האפליקציות. כל המעבדות המורשות מספקות בדיקות אבטחה מקיפות ומציעות למפתחים את האמצעים לקבלת אישור בהתאם לסטנדרטים שפורסמו.
איך מתחילים?
למפתחים יש אפשרות לעבוד ישירות עם מעבדה מורשית כדי להתחיל את תהליך הבדיקה. כל העמלות או הניירת הנדרשת יטופלו ישירות בין המעבדה למפתח.
האם אפשר לשלוח בדיקה משלכם או להשתמש במעבדה אחרת?
בשלב זה אנחנו מקבלים תוצאות בדיקה רק משותפי המעבדה המורשים של MASA. אם אתם עובדים עם מעבדה שמעוניינת להשתתף בתוכנית, תוכלו לבקש מהם למלא את הטופס כאן.
האם המתחרים שלי יראו את תוצאות הבדיקה שלי? האם תוצאות הבדיקה שלי יהיו גלויות לכולם?
תוצאות הבדיקה הראשוניות ישותפו רק עם הצוות שלכם. אחרי שהאפליקציה תעמוד בכל הדרישות, צוות המעבדה ישלח ל-Google סיכום דוח, שיהיה זמין לכולם במאגר MASA שיושקה בעתיד. סיכום הדוח מוגבל להיקף הבדיקה ולא כולל ממצאים רגישים שקשורים לאפליקציה. יש לכם שליטה מלאה לגבי המועד שבו תרצו לפרסם את התוצאות האלה.
יש לך אפשרות להציג את זה בדף המוצר שלנו ב-Google Play?
הדרך העיקרית שבה המידע הזה יוצג למשתמשים היא באמצעות תג אבטחה בסעיף 'אבטחת נתונים'. האפשרות הזו זמינה רק לאפליקציות שעברו את הערכת AL2. אנחנו בודקים דרכים להציג את המידע הזה למשתמשים נוספים ב-Play.
כמה זמן לוקח עד שהתוצאות מופיעות בתווית של בטיחות המידע?
אחרי שתעדכנו את סעיף אבטחת הנתונים כך שיציין שהאפליקציה 'אומתה באופן עצמאי', הסימון יופיע בתווית אבטחת הנתונים תוך שבוע.
איך צריך להתייחס לתוכנית הזו מחוץ לארגון?
מפתחים שהשלימו את תהליך האישור יכולים לציין שהאפליקציות שלהם אומתו באופן עצמאי באמצעות App Defense Alliance
האם מפתחים צריכים לעבור שוב את תהליך האישור בכל עדכון או גרסה חדשה של האפליקציה?
לא, אישור MASA הוא שנתי והוא מיועד להערכה של רגע נתון. המפתחים צריכים להמשיך לשמור על תאימות באמצעות הערכות פנימיות כחלק ממחזור החיים של פיתוח האבטחה.
מי יעקוב אחרי הדרישות השנתיות לאישור מחדש של האפליקציות האלה, ומי יודיע למפתחים מתי תוקף האישור שלהם יפוג?
המפתחים אחראים לשמור על תוקף ההסמכה שלהם.
האם ל-Google תהיה גישה לתוצאות או לממצאים של ה-Lab?
Google מקבלת רק דוח אימות משותפי מעבדה מורשים, שמציין אם האפליקציה עומדת בדרישות או לא. במסגרת האימות, לא מתבצע שיתוף או חשיפת קוד האפליקציה, תוצאות הסריקה או ממצאי נקודות החולשה.
מה קורה אם אני לא מסכים / ה עם הממצאים או עם תוצאות הבדיקות של ה-Labs?
הבדיקות של MASA מתבצעות על ידי מעבדות מורשות של צד שלישי. אם אתם לא מסכימים עם תוצאות הבדיקה או שיש לכם שאלות לגבי סטטוס התאימות, אתם יכולים לערער ישירות על הבדיקה של האפליקציה מול המעבדה שהתחילה את הבדיקה.
מה קורה אם מפרסמים את האפליקציה בפעם הראשונה?
מפתחים יכולים לשלוח גרסה טרום-השקה למעבדה לבדיקה מוקדמת, אבל הגרסה הסופית שאושרה צריכה להיות קובץ ה-APK הרשמי שפורסם בחנות Google Play.
האם צוות המעבדה יוכל לבדוק את האפליקציה שלי אם היא מעורפלת?
ערפול יכול להקשות על כלי בדיקות המעבדה להעריך את האפליקציה. במקרים כאלה, יכול להיות שתצטרכו לשלוח נכסים נוספים למעבדות כדי לאפשר בדיקה, וייתכן שתצטרכו לשלם עמלות נוספות.