このプログラムはデベロッパーにとってどのような価値がありますか?
アプリのセキュリティ テストを定期的に実行すると、アプリの重大な脆弱性を特定し、将来的な責任を軽減できます。Google Play では、独立系機関による検証を受けたデベロッパーが、データ セーフティ フォームでそのことを示すことができます。
ユーザーにとってのメリット
ユーザーは、アプリが外部のエキスパートによって審査されていることを確認でき、それらのサービスの安全性やセキュリティについて高い信頼を得ることができます。
このプログラムの対象となるアプリの種類
OWASP MASVS は、IoT、フィットネス/健康、ソーシャル、コミュニケーション、VPN、生産性など、さまざまなアプリカテゴリに適用されます。
評価の範囲
評価の範囲は、クライアントサイドのセキュリティ、バックエンド/クラウド サービスへの認証、バックエンド/クラウド サービスへの接続で構成され、一般的なセキュリティとプライバシーに関するベスト プラクティスが検討されます。
この評価ではどのようなタイプのテストケースが対象になりますか?
この評価では、GitHub の こちらで入手できる、テスト可能な Level 1 MASVS 要件のサブセットを確認します。
証明書の有効期間はどのくらいですか?
1 年。1 年が経過すると、デベロッパーはアプリの再認定を行う必要があります。
MASA にはどのような保証レベルがあり、それらの違いは何ですか?
MASA には 2 つの保証レベルがあります。AL1 は APK スキャンと質問票による自己診断で、AL2 は静的分析と動的分析による包括的なラボ評価です。AL2 を取得すると、Google Play ストアにアプリの「独立したセキュリティ審査」バッジが表示されます。
料金
料金はラボ パートナーによって異なりますが、平均して AL2 では 3,000 ~ 6,000 ドル、AL1 では 500 ドルの費用がかかります。
手続きにはどのくらい時間がかかりますか?
必要な書類がすべて準備されると、ラボからの評価は 10 日以内に行われます。完了までの時間は、ラボからのフィードバックと、チームが変更を迅速に実装できるかどうかによって異なります。
ラボ パートナーとは
Google は、アプリの評価を実施する一連の認定ラボをオンボーディングしました。すべての認定ラボが、包括的なセキュリティ テストを提供しており、公開されている基準に従って認定を取得する手段をデベロッパーに提供しています。
何から始めるべきか
デベロッパーは、認定ラボと直接連携してテストプロセスを開始できます。料金や必要書類の受け渡しは、ラボとデベロッパーの間で直接行われます。
独自のテストを提出して、別のラボを使用できますか?
現時点では、MASA 認定ラボ パートナーによる評価結果のみを受け付けています。プログラムへの参加に関心をお持ちのラボと連携している場合は、こちらのフォームにご記入いただくよう伝えてください。
競合他社はテスト結果を見ることができますか? テスト結果は公開されますか?
最初のテスト結果は、チームとのみ共有されます。 アプリがすべての要件を満たすと、ラボは Google にレポートの概要を送信します。このレポートの概要は、今後リリースされる MASA ディレクトリで一般公開されます。レポートの概要はテスト範囲に限定され、アプリに関連する機密性の高い検出結果は含まれません。これらの結果を公開するタイミングは完全に管理できます。
Google Play の掲載情報にこの情報を表示する方法はありますか?
ユーザーに表示される主な方法は、データ セーフティ セクションのセキュリティ バッジです。このオプションは、AL2 評価を完了したアプリケーションでのみ使用できます。Google では、この情報を Google Play のより多くのユーザーに表示する方法を検討しています。
データ セーフティ ラベルに結果が表示されるまでにどのくらいの時間がかかりますか?
データ セーフティ セクションを更新して、アプリが「独立した審査」を受けたことを申告すると、1 週間以内にデータ セーフティ ラベルにその指定が表示されます。
社外でこのプログラムをどのように紹介すればよいですか?
認定を完了したデベロッパーは、App Defense Alliance を通じて独立した検証を受けたことを宣言できます。
デベロッパーは、アプリのアップデートやリリースごとに再認定を受ける必要がありますか?
いいえ。MASA 認証は年次認証であり、特定の時点での評価を目的としています。デベロッパーは、セキュリティ開発ライフサイクルの一環として、内部評価を通じてコンプライアンスを継続的に維持する必要があります。
これらのアプリの年次再認定要件を追跡し、認定の有効期限が切れるタイミングをデベロッパーに通知するのは誰ですか?
認定を有効に保つ責任はデベロッパーにあります。
Google はラボの結果や検出結果にアクセスできますか?
Google が認定ラボ パートナーから受け取るのは、アプリが要件を満たしているかどうかを示す検証レポートのみです。検証の一環として、アプリケーション コード、スキャン結果、脆弱性に関する検出結果が Google と共有または開示されることはありません。
ラボの検出結果 / 評価結果に異議がある場合はどうすればよいですか?
MASA 評価は、認定を受けた第三者機関によって実施されます。評価結果に同意できない場合や、コンプライアンスのステータスについて不明な点がある場合は、アプリのテストを開始したラボに直接再審査を請求できます。
初めてアプリを公開する場合はどうなりますか?
デベロッパーは、早期テストのためにプレリリース ビルドをラボに送信できますが、最終的な認定バージョンは、Google Play ストアに公開されている公式 APK である必要があります。
アプリが難読化されている場合、ラボでアプリを審査できますか?
難読化により、ラボ テストツールでアプリケーションを評価することが難しくなる可能性があります。このような場合は、テストを容易にするためにラボに追加のアセットを送信することが求められ、追加料金が発生することがあります。