Qual è il valore di questo programma per gli sviluppatori?
Eseguire test di sicurezza regolari per l'applicazione può aiutarti a identificare le vulnerabilità chiave nell'app e mitigare la responsabilità futura. Google Play consentirà agli sviluppatori che hanno superato la convalida indipendente di mostrare questo modulo sul modulo Sicurezza dei dati.
Qual è il vantaggio per gli utenti?
Gli utenti possono avere la certezza che le app siano state verificate da esperti esterni e avere una maggiore garanzia di sicurezza per queste offerte.
Quali tipi di app sono applicabili a questo programma?
OWASP MASVS è applicabile a qualsiasi app per dispositivi mobili. Ciò include una varietà di categorie di app, tra cui IoT, fitness/health, social, comunicazioni, VPN, produttività e molte altre.
Qual è l'ambito della valutazione?
L'ambito della valutazione consiste in sicurezza lato client, autenticazione nel servizio backend/cloud e connettività nel servizio backend/cloud esaminando la sicurezza generale e alcune best practice sulla privacy.
Quali tipi di scenari di test sono previsti in questa valutazione?
La valutazione esaminerà un sottoinsieme di requisiti MASVS di livello 1 testabili disponibili su GitHub qui.
Per quanto tempo è valido il certificato?
Un anno. Dopo un anno, lo sviluppatore è responsabile di ricertificazione della sua app.
Quanto costa?
Le tariffe variano a seconda del partner lab, ma in media puoi aspettarti una valutazione tra 3-6000 $.
Quanto dura la procedura?
Una volta completati i documenti necessari, dovresti ricevere una valutazione dal lab entro 10 giorni. I tempi di completamento possono variare a seconda del feedback sul lab e della capacità del tuo team di implementare rapidamente le modifiche.
Chi sono i partner del lab?
Google ha integrato un gruppo di lab autorizzati per eseguire le valutazioni delle app. Tutti i lab autorizzati forniscono test di sicurezza completi e offrono agli sviluppatori i mezzi per ottenere la certificazione in base agli standard pubblicati.
Che cosa devo fare per iniziare?
Gli sviluppatori hanno l'opportunità di lavorare direttamente con un lab autorizzato per avviare la procedura di test. Eventuali commissioni o documenti necessari verranno gestiti direttamente tra il lab e lo sviluppatore.
Posso inviare il mio test / utilizzare un lab diverso?
Al momento accettiamo solo risultati di valutazione dai partner del lab autorizzati MASA. Se stai lavorando con un lab interessato a partecipare al programma, invitalo a compilare il modulo qui.
I miei concorrenti vedranno i miei risultati di test? I risultati del mio test verranno resi pubblici?
I risultati del test iniziale verranno condivisi solo con il tuo team. Una volta che l'app ha soddisfatto tutti i requisiti, il lab invierà un riepilogo del report a Google, che verrà reso disponibile pubblicamente su una directory MASA con lancio successivo. Il riepilogo del report è limitato all'ambito del test e non include risultati sensibili relativi alla tua app. Hai il pieno controllo su quando vuoi rendere pubblici questi risultati.
Esiste un modo per metterlo in evidenza nella nostra scheda di Google Play?
Il modo principale per mostrarlo agli utenti è attraverso la sezione Sicurezza dei dati tramite un badge di sicurezza. Stiamo lavorando per mostrare queste informazioni a più utenti su Google Play.
La certificazione diventerà obbligatoria per le app nel Google Play Store?
Al momento non prevediamo di rendere obbligatoria la certificazione per gli sviluppatori di app.
Quanto tempo occorre per la visualizzazione dei risultati sull'etichetta Sicurezza dei dati?
Una volta aggiornata la sezione Sicurezza dei dati per indicare che l'app è stata "convalidata in modo indipendente", la designazione verrà visualizzata nell'etichetta Sicurezza dei dati entro una settimana.
Come posso fare riferimento a questo programma esternamente?
Gli sviluppatori che hanno completato la certificazione possono affermare di avere una convalida indipendente tramite l'App Defense Alliance