Qual è il valore di questo programma per gli sviluppatori?
Eseguire test di sicurezza regolari per la tua applicazione può aiutarti a identificare le vulnerabilità principali della tua app e a ridurre la responsabilità futura. Google Play consentirà agli sviluppatori che hanno superato la convalida indipendente di indicarlo nel modulo Sicurezza dei dati.
Quali sono i vantaggi per gli utenti?
Gli utenti possono essere certi che le app sono state sottoposte a verifica da parte di esperti esterni e avere una garanzia maggiore in merito alla sicurezza di queste offerte.
Quali tipi di app sono applicabili a questo programma?
OWASP MASVS è applicabile a qualsiasi app mobile. Sono incluse varie categorie di app, tra cui IoT, fitness/salute, social, comunicazioni, VPN, produttività e molte altre.
Qual è l'ambito della valutazione?
L'ambito della valutazione è costituito dalla sicurezza lato client, dall'autenticazione al servizio di backend/cloud e dalla connettività al servizio di backend/cloud, tenendo conto della sicurezza generale e di alcune best practice per la privacy.
Quali tipi di casi di test saranno coperti da questa valutazione?
La valutazione esaminerà un sottoinsieme di requisiti MASVS di livello 1 verificabili disponibili su GitHub qui.
Per quanto tempo è valido il certificato?
1 anno. Dopo 1 anno, è responsabilità dello sviluppatore sottoporre nuovamente la sua app alla certificazione.
Quali livelli di affidabilità fornisce MASA e qual è la differenza tra loro?
Il MASA offre due livelli di garanzia: AL1, un'autovalutazione con scansione dell'APK e questionario, e AL2, una valutazione completa in laboratorio con analisi statica e dinamica che consente all'app di ottenere il badge "Controllo della sicurezza indipendente" nel Play Store.
Quanto costa?
Le tariffe variano in base al partner del laboratorio, ma in media la valutazione dovrebbe costare tra 3000 e 6000 $per AL2 e 500 $per AL1.
Quanto dura la procedura?
Una volta completata la documentazione necessaria, puoi aspettarti una valutazione dal laboratorio entro 10 giorni. I tempi di completamento possono variare in base al feedback del laboratorio e alla capacità del team di implementare rapidamente le modifiche.
Chi sono i partner del laboratorio?
Google ha integrato un insieme di lab autorizzati per eseguire le valutazioni delle app. Tutti gli Authorized Lab forniscono test di sicurezza completi e offrono agli sviluppatori i mezzi per ottenere la certificazione in base agli standard pubblicati.
Che cosa devo fare per iniziare?
Gli sviluppatori hanno la possibilità di collaborare direttamente con un Authorized Lab per avviare la procedura di test. Eventuali commissioni o documenti necessari verranno gestiti direttamente tra il lab e lo sviluppatore.
Posso inviare il mio test o utilizzare un altro laboratorio?
Al momento, accettiamo solo i risultati delle valutazioni dei partner di laboratorio autorizzati MASA. Se collabori con un lab interessato a partecipare al programma, invitalo a compilare il modulo qui.
I miei concorrenti vedranno i risultati del test? I risultati del test verranno resi pubblici?
I risultati iniziali del test verranno condivisi solo con il tuo team. Una volta che l'app avrà soddisfatto tutti i requisiti, il laboratorio invierà un riepilogo del report a Google, che verrà reso disponibile pubblicamente in una directory MASA che verrà lanciata in futuro. Il riepilogo del report è limitato all'ambito dei test e non include risultati sensibili relativi alla tua app. Hai il pieno controllo su quando rendere pubblici questi risultati.
C'è un modo per mostrare questa funzionalità nella nostra scheda di Google Play?
Il modo principale in cui verrà mostrato agli utenti è tramite la sezione Sicurezza dei dati tramite un badge di sicurezza. Questa opzione è disponibile solo per le applicazioni che hanno completato la valutazione AL2. Stiamo esplorando modi per mostrare queste informazioni a un maggior numero di utenti su Play.
Quanto tempo occorre per visualizzare i risultati nell'etichetta di sicurezza dei dati?
Una volta aggiornata la sezione Sicurezza dei dati per indicare che la tua app è stata "confermata in modo indipendente", la designazione verrà visualizzata sull'etichetta Sicurezza dei dati entro una settimana.
Come devo fare riferimento a questo programma esternamente?
Gli sviluppatori che hanno completato la certificazione possono dichiarare di essere stati sottoposti a una convalida indipendente tramite l'App Defense Alliance
Uno sviluppatore deve ottenere la certificazione di nuovo per ogni aggiornamento o rilascio della sua app?
No, la certificazione MASA è annuale e intende essere una valutazione in un determinato momento. Gli sviluppatori devono continuare a mantenere la conformità tramite valutazioni interne nell'ambito del loro ciclo di vita di sviluppo della sicurezza.
Chi terrà traccia dei requisiti di ricertificación annuale per queste app e chi avviserà gli sviluppatori quando la loro certificazione scadrà?
È responsabilità dello sviluppatore mantenere valida la certificazione.
Google avrà accesso ai risultati o ai risultati del laboratorio?
Google riceve solo un report di convalida dai partner Authorized Lab che indica se l'app soddisfa o meno i requisiti. Nessun codice dell'applicazione, risultato della scansione o rilevamento di vulnerabilità viene condiviso o divulgato a Google nell'ambito della verifica.
Che cosa succede se non sono d'accordo con i risultati del lab / della valutazione?
Le valutazioni MASA vengono eseguite da lab di terze parti autorizzati. Se non sei d'accordo con i risultati della valutazione o hai domande sullo stato della tua conformità, puoi presentare un ricorso direttamente al laboratorio che ha avviato i test della tua app.
Cosa succede se pubblico la mia applicazione per la prima volta?
Gli sviluppatori possono inviare al lab una build pre-release per i test iniziali, ma la versione finale certificata deve essere l'APK ufficiale pubblicato sul Google Play Store.
Il lab potrà esaminare la mia app se è offuscata?
L'oscuramento può rendere difficile per gli strumenti di test di laboratorio valutare la tua applicazione. In questi casi, potresti dover inviare risorse aggiuntive ai lab per facilitare i test e potresti dover pagare costi aggiuntivi.