डेवलपर के लिए इस प्रोग्राम की क्या अहमियत है?
अपने ऐप्लिकेशन के लिए नियमित तौर पर सुरक्षा जांच करने से, आपको अपने ऐप्लिकेशन में मौजूद मुख्य जोखिम की पहचान करने और आने वाले समय में होने वाली ज़िम्मेदारी को कम करने में मदद मिल सकती है. Google Play, उन डेवलपर को डेटा सुरक्षा फ़ॉर्म पर यह जानकारी दिखाने की अनुमति देगा जिन्होंने डेटा सुरक्षा फ़ॉर्म की स्वतंत्र तौर पर पुष्टि करवाई है.
इससे उपयोगकर्ताओं को क्या फ़ायदा होगा?
उपयोगकर्ता भरोसा कर सकते हैं कि ऐप्लिकेशन की जांच बाहरी विशेषज्ञों ने की है और उनमें दी गई सेवाओं की सुरक्षा के बारे में ज़्यादा भरोसा है.
इस प्रोग्राम में किस तरह के ऐप्लिकेशन शामिल हैं?
OWASP MASVS किसी भी मोबाइल ऐप्लिकेशन पर लागू होता है. इसमें कई तरह के ऐप्लिकेशन शामिल हैं, जैसे कि स्मार्ट डिवाइसों से जुड़े ऐप्लिकेशन, फ़िटनेस/सेहत, सोशल, कम्यूनिकेशन, वीपीएन, प्रोडक्टिविटी वगैरह.
आकलन का दायरा क्या है?
आकलन के दायरे में क्लाइंट-साइड सुरक्षा, बैकएंड/क्लाउड सेवा की पुष्टि, और बैकएंड/क्लाउड सेवा से कनेक्टिविटी शामिल है. इसमें सामान्य सुरक्षा और निजता के कुछ सबसे सही तरीकों को ध्यान में रखा जाता है.
इस आकलन में किस तरह के टेस्ट केस शामिल होंगे?
आकलन में, जांच के लिए उपलब्ध MASVS के लेवल 1 की ज़रूरी शर्तों के सबसेट की समीक्षा की जाएगी. ये ज़रूरी शर्तें, GitHub पर यहां उपलब्ध हैं.
सर्टिफ़िकेट कितने समय तक मान्य होता है?
एक साल. एक साल बाद, डेवलपर को अपने ऐप्लिकेशन के लिए फिर से सर्टिफ़िकेट लेना होगा.
एमएएसए, भरोसे के कौनसे लेवल देता है और उनके बीच क्या अंतर है?
MASA ने, सुरक्षा के लिए पुष्टि करने के दो लेवल तय किए हैं: AL1, APK स्कैन और सवालों की सूची के साथ खुद से जांच करना और AL2, स्टैटिक और डाइनैमिक विश्लेषण के साथ लैब में की जाने वाली पूरी जांच. AL2 लेवल हासिल करने पर, आपके ऐप्लिकेशन को Play Store में "सुरक्षा की जांच स्वतंत्र तौर पर की गई है" बैज मिलता है.
इसकी क्या कीमत है?
शुल्क, लैब पार्टनर के हिसाब से अलग-अलग होते हैं. हालांकि, औसतन आपको यह उम्मीद करनी चाहिए कि AL2 के लिए आकलन की लागत 3 से 6 हज़ार डॉलर और AL1 के लिए 500 डॉलर होगी.
इस प्रोसेस में कितना समय लगता है?
ज़रूरी दस्तावेज़ सबमिट करने के बाद, आपको लैब से 10 दिनों के अंदर आकलन का नतीजा मिल जाएगा. लैब के सुझावों और आपकी टीम के बदलावों को तुरंत लागू करने की क्षमता के आधार पर, प्रोसेस पूरी होने में लगने वाला समय अलग-अलग हो सकता है.
लैब पार्टनर कौन हैं?
Google ने ऐप्लिकेशन की जांच करने के लिए, अनुमति पा चुके कुछ लैब को शामिल किया है. अनुमति पा चुके सभी लैब, सुरक्षा की पूरी जांच करते हैं. साथ ही, डेवलपर को पब्लिश किए गए मानकों के हिसाब से सर्टिफ़िकेट पाने का तरीका बताते हैं.
मैं इसका इस्तेमाल करना कैसे शुरू करूं?
टेस्टिंग की प्रोसेस शुरू करने के लिए, डेवलपर के पास अनुमति पा चुके लैब के साथ सीधे काम करने का विकल्प होता है. लैब और डेवलपर के बीच, सीधे तौर पर सभी शुल्कों और ज़रूरी दस्तावेज़ों का लेन-देन किया जाएगा.
क्या मैं अपना टेस्ट सबमिट कर सकता/सकती हूं / किसी दूसरी लैब का इस्तेमाल कर सकता/सकती हूं?
फ़िलहाल, हम सिर्फ़ MASA से अनुमति पा चुके लैब पार्टनर के आकलन के नतीजे स्वीकार करते हैं. अगर आप किसी ऐसी लैब के साथ काम कर रहे हैं जिसे इस प्रोग्राम में हिस्सा लेना है, तो कृपया उसे यहां दिया गया फ़ॉर्म भरने के लिए कहें.
क्या मेरे प्रतिस्पर्धियों को मेरे टेस्ट के नतीजे दिखेंगे? क्या मेरे टेस्ट के नतीजे सार्वजनिक किए जाएंगे?
जांच के शुरुआती नतीजे सिर्फ़ आपकी टीम के साथ शेयर किए जाएंगे. ऐप्लिकेशन सभी ज़रूरी शर्तें पूरी करने के बाद, लैब Google को एक रिपोर्ट की खास जानकारी सबमिट करेगा. इसे आने वाले समय में लॉन्च होने वाली MASA डायरेक्ट्री पर सार्वजनिक तौर पर उपलब्ध कराया जाएगा. रिपोर्ट की खास जानकारी, सिर्फ़ टेस्टिंग के दायरे तक सीमित होती है. इसमें आपके ऐप्लिकेशन से जुड़ी कोई भी संवेदनशील जानकारी शामिल नहीं होती. आपके पास यह तय करने का पूरा अधिकार होता है कि आपको ये नतीजे कब सार्वजनिक करने हैं.
क्या Google Play के स्टोर पेज पर इसे दिखाने का कोई तरीका है?
उपयोगकर्ताओं को यह जानकारी मुख्य रूप से, डेटा सुरक्षा सेक्शन में मौजूद सुरक्षा बैज के ज़रिए दी जाएगी. यह विकल्प सिर्फ़ उन ऐप्लिकेशन के लिए उपलब्ध है जिन्होंने AL2 लेवल का आकलन पूरा कर लिया है. हम इस जानकारी को Play पर ज़्यादा से ज़्यादा उपयोगकर्ताओं को दिखाने के तरीकों पर काम कर रहे हैं.
डेटा की सुरक्षा वाले लेबल पर नतीजे दिखने में कितना समय लगता है?
डेटा की सुरक्षा वाले सेक्शन को अपडेट करने के बाद, यह जानकारी दिखेगी कि आपके ऐप्लिकेशन की "स्वतंत्र रूप से पुष्टि की गई है". यह जानकारी दिखने में एक हफ़्ता लगेगा.
मुझे इस प्रोग्राम को बाहरी लोगों से कैसे बताना चाहिए?
सर्टिफ़िकेट पाने वाले डेवलपर यह कह सकते हैं कि उनकी पुष्टि, App Defense Alliance ने स्वतंत्र रूप से की है
क्या डेवलपर को अपने ऐप्लिकेशन के हर अपडेट या रिलीज़ के लिए, फिर से सर्टिफ़िकेट लेना होगा?
नहीं, एमएएसए का सर्टिफ़िकेट सालाना दिया जाता है. इसे किसी खास समय के लिए दिया जाता है. डेवलपर को सुरक्षा से जुड़े डेवलपमेंट लाइफ़साइकल के तहत, इंटरनल असेस्मेंट की मदद से, नियमों का पालन करना जारी रखना चाहिए.
इन ऐप्लिकेशन के लिए, हर साल फिर से सर्टिफ़िकेट पाने की ज़रूरी शर्तों का ट्रैक कौन रखेगा और सर्टिफ़िकेट की समयसीमा खत्म होने पर डेवलपर को कौन सूचना देगा?
सर्टिफ़िकेट को मान्य रखने की ज़िम्मेदारी डेवलपर की है.
क्या Google के पास लैब के किसी भी नतीजे या जानकारी का ऐक्सेस होगा?
Google को सिर्फ़ आधिकारिक लैब पार्टनर से पुष्टि की रिपोर्ट मिलती है. इसमें यह जानकारी होती है कि ऐप्लिकेशन, ज़रूरी शर्तों को पूरा करता है या नहीं. पुष्टि करने के दौरान, Google के साथ कोई ऐप्लिकेशन कोड, स्कैन के नतीजे या कमज़ोरियों की जानकारी शेयर या ज़ाहिर नहीं की जाती.
अगर मुझे लैब की खोज के नतीजों / आकलन के नतीजों से सहमत नहीं होना है, तो क्या करना चाहिए?
MASA आकलन, तीसरे पक्ष की अनुमति वाली लैब करती हैं. अगर आप आकलन के नतीजों से सहमत नहीं हैं या आपको अपने ऐप्लिकेशन के अनुपालन की स्थिति के बारे में कोई सवाल पूछना है, तो सीधे उस लैब से अपील करें जिसने आपके ऐप्लिकेशन की जांच शुरू की थी.
अगर मैंने पहली बार अपना ऐप्लिकेशन पब्लिश किया है, तो क्या होगा?
डेवलपर, रिलीज़ से पहले के वर्शन को जल्दी टेस्ट करने के लिए, लैब में सबमिट कर सकते हैं. हालांकि, सर्टिफ़ाइड वर्शन के तौर पर, Google Play Store पर पब्लिश किया गया आधिकारिक APK सबमिट करना ज़रूरी है.
अगर मेरे ऐप्लिकेशन को अस्पष्ट किया गया है, तो क्या लैब उसकी समीक्षा कर पाएगा?
कोड को छिपाने से, लैब टेस्टिंग टूल के लिए आपके ऐप्लिकेशन का आकलन करना मुश्किल हो सकता है. ऐसे मामलों में, आपको टेस्टिंग की सुविधा देने के लिए, लैब को अतिरिक्त ऐसेट भेजनी पड़ सकती हैं. साथ ही, आपसे अतिरिक्त शुल्क भी लिया जा सकता है.