このプログラムはデベロッパーにとってどのようなメリットがありますか?
アプリケーションのセキュリティ テストを定期的に実施すると、アプリの主な脆弱性を特定し、将来の責任を軽減できます。Google Play では、独立系機関による検証を受けたデベロッパーが、データ セーフティ フォームでそのことを示すことができます。
ユーザーにとってのメリット
ユーザーは、アプリが外部のエキスパートによって審査されていることを確認でき、それらのサービスの安全性とセキュリティについて高い信頼を得ることができます。
このプログラムの対象となるアプリの種類
OWASP MASVS は、IoT、フィットネス/健康、ソーシャル、コミュニケーション、VPN、生産性など、さまざまなアプリカテゴリに適用されます。
評価の範囲
評価の範囲は、クライアントサイドのセキュリティ、バックエンド/クラウド サービスへの認証、バックエンド/クラウド サービスへの接続で構成され、一般的なセキュリティとプライバシーに関するベスト プラクティスが検討されます。
この評価ではどのような種類のテストケースを対象としていますか?
この評価では、GitHub の こちらで入手できる、テスト可能な Level 1 MASVS 要件のサブセットを確認します。
証明書の有効期間はどのくらいですか?
1 年。1 年が経過すると、デベロッパーはアプリの再認定を行う必要があります。
MASA ではどのような保証レベルが提供され、それらの違いは何ですか?
MASA には 2 つの保証レベルがあります。AL1 は、APK スキャンと質問票による自己診断です。AL2 は、静的解析と動的解析による包括的なラボ評価で、アプリに Play ストアの「独立したセキュリティ審査」バッジが付与されます。
料金
料金はラボ パートナーによって異なりますが、平均して AL2 では 3,000 ~ 6,000 ドル、AL1 では 500 ドルの費用がかかります。
手続きにはどのくらい時間がかかりますか?
必要な書類がすべて準備されると、ラボからの評価は 10 日以内に行われます。完了までの所要時間は、ラボのフィードバックと、チームが変更を迅速に実装できる能力によって異なります。
ラボ パートナーとは
Google は、アプリの評価を実施する一連の認定ラボをオンボーディングしました。すべての認定ラボが、包括的なセキュリティ テストを提供しており、公開されている基準に従って認定を取得するための手段を提供しています。
何から始めるべきか
デベロッパーは、認定ラボと直接連携してテストプロセスを開始できます。料金や必要書類の受け渡しはラボとデベロッパーの間で直接行われます。
独自のテストを提出して、別のラボを使用できますか?
現在、Google が承認する MASA 認定ラボ パートナーによる評価結果のみを受け付けています。
競合他社は私のテスト結果を見ることができますか? テスト結果は公開されますか?
最初のテスト結果は、チームとのみ共有されます。 アプリがすべての要件を満たすと、ラボはレポートの概要を Google に送信します。このレポートの概要は、今後リリースされる MASA ディレクトリで一般公開されます。レポートの概要はテスト範囲に限定され、アプリに関連する機密性の高い検出結果は含まれません。これらの結果を公開するタイミングは完全に管理できます。
Google Play の掲載情報にこの情報を表示する方法はありますか?
ユーザーに表示される主な方法は、データ セーフティ セクションのセキュリティ バッジです。このオプションは、AL2 評価を完了したアプリケーションでのみ使用できます。Google では、この情報を Google Play のより多くのユーザーに表示する方法を検討しています。
データ セーフティ ラベルに結果が表示されるまでにどのくらいの時間がかかりますか?
データ セーフティ セクションを更新して、アプリが「独立した検証を受けている」ことを示すと、1 週間以内にデータ セーフティ ラベルにその指定が表示されます。
社外でこのプログラムをどのように紹介すればよいですか?
認定を完了したデベロッパーは、App Defense Alliance を通じて独立した検証を受けていることを宣言できます。
デベロッパーは、アプリのアップデートやリリースごとに再認定を受ける必要がありますか?
いいえ。MASA 認証は年次認証であり、特定の時点での評価を目的としています。デベロッパーは、セキュリティ開発ライフサイクルの一環として、内部評価を通じてコンプライアンスを継続的に維持する必要があります。
これらのアプリの年次再認定要件の管理と、認定の有効期限が切れるタイミングのデベロッパーへの通知は、誰が行いますか?
認定を有効に保つ責任はデベロッパーにあります。
Google は、検査結果や検出結果にアクセスできますか?
Google が認定ラボ パートナーから受け取るのは、アプリが要件を満たしているかどうかを示す検証レポートのみです。検証の一環として、アプリケーション コード、スキャン結果、脆弱性検出結果が Google と共有または開示されることはありません。
ラボの検出結果 / 評価結果に同意できない場合はどうすればよいですか?
MASA 評価は、認定を受けた第三者機関によって実施されます。評価結果に同意できない場合や、コンプライアンスのステータスについてご不明な点がある場合は、アプリのテストを開始したラボに直接再審査を請求できます。
初めてアプリを公開する場合はどうなりますか?
デベロッパーは、早期テストのためにプレリリース ビルドをラボに送信できますが、最終的な認定バージョンは Google Play ストアに公開されている公式 APK である必要があります。
アプリが難読化されている場合、ラボでアプリを確認できますか?
難読化により、ラボ テストツールでアプリケーションを評価することが難しくなる可能性があります。 このような場合、テストを容易にするためにラボに追加のアセットを送信することが求められ、追加料金が発生することがあります。