이 프로그램은 개발자에게 어떤 가치가 있나요?
애플리케이션의 보안 테스트를 정기적으로 수행하면 앱의 주요 취약점을 식별하고 향후 책임을 줄이는 데 도움이 됩니다. Google Play에서는 독립적 검증을 통과한 개발자가 데이터 보안 양식에 이를 표시할 수 있도록 허용합니다.
사용자에게 어떤 이점이 있나요?
사용자는 앱이 외부 전문가의 검토를 거쳤다고 확신할 수 있으며 이러한 제품의 안전 / 보안에 대한 신뢰도가 높아집니다.
이 프로그램에 어떤 유형의 앱이 적용되나요?
OWASP MASVS는 모든 모바일 앱에 적용할 수 있습니다. 여기에는 IoT, 피트니스/건강, 소셜, 커뮤니케이션, VPN, 생산성 등 다양한 앱 카테고리가 포함됩니다.
평가 범위는 무엇인가요?
평가 범위는 클라이언트 측 보안, 백엔드/클라우드 서비스 인증, 백엔드/클라우드 서비스 연결로 구성되며 일반적인 보안 및 일부 개인 정보 보호 권장사항을 고려합니다.
이 평가에서는 어떤 유형의 테스트 사례를 다루나요?
평가에서는 여기에 있는 GitHub에서 제공되는 테스트 가능한 레벨 1 MASVS 요구사항의 하위 집합을 검토합니다.
인증서의 유효 기간은 얼마인가요?
1년 1년 후에는 개발자가 앱을 재인증해야 합니다.
MASA는 어떤 보증 등급을 제공하며 그 차이점은 무엇인가요?
MASA는 두 가지 보증 수준을 제공합니다. APK 검사 및 설문지를 통한 자체 평가인 AL1과 정적 및 동적 분석을 통한 포괄적인 실험실 평가인 AL2입니다. AL2를 통과하면 앱에 Play 스토어의 '독립적 보안 검토' 배지가 부여됩니다.
가격 책정
수수료는 실험실 파트너에 따라 다르지만 평균적으로 AL2의 경우 3,000~6,000달러, AL1의 경우 500달러가 소요될 것으로 예상됩니다.
이 절차는 얼마나 걸리나요?
필수 서류를 작성하면 10일 이내에 연구 기관의 평가를 받을 수 있습니다. 완료 기간은 연구소 의견 및 팀의 변경사항을 신속하게 구현하는 능력에 따라 다를 수 있습니다.
실험실 파트너는 누구인가요?
Google은 앱 평가를 수행할 공인 연구소를 온보딩했습니다. 모든 공인 연구소는 포괄적인 보안 테스트를 제공하고 개발자가 게시된 표준에 따라 인증을 받을 수 있는 방법을 제공합니다.
어떻게 시작하나요?
개발자는 공인 연구소와 직접 협력하여 테스트 절차를 시작할 수 있습니다. 모든 수수료나 필수 서류는 연구소와 개발자 간에 직접 처리됩니다.
자체 테스트를 제출하거나 다른 실험실을 사용할 수 있나요?
현재 MASA 공인 실험실 파트너의 평가 결과만 허용됩니다. 프로그램 참여에 관심이 있는 실험실과 협력하고 있다면 여기에서 양식을 작성하도록 안내하세요.
경쟁사가 내 테스트 결과를 볼 수 있나요? 테스트 결과는 공개되나요?
초기 테스트 결과는 담당 팀과만 공유됩니다. 앱이 모든 요구사항을 충족하면 연구소에서 Google에 보고서 요약을 제출하며, 이 요약은 향후 출시될 MASA 디렉터리에 공개적으로 제공됩니다. 보고서 요약은 테스트 범위로 제한되며 앱과 관련된 민감한 결과는 포함되지 않습니다. 이러한 결과를 언제 공개할지는 개발자가 완전히 관리할 수 있습니다.
Google Play 등록정보에 이를 표시할 방법이 있나요?
이 정보는 보안 배지를 통해 데이터 보안 섹션을 통해 사용자에게 표시됩니다. 이 옵션은 AL2 평가를 완료한 애플리케이션에만 사용할 수 있습니다. Google은 Play에서 더 많은 사용자에게 이 정보를 표시할 방법을 모색하고 있습니다.
데이터 안전 라벨에 결과가 표시되는 데 시간이 얼마나 걸리나요?
데이터 보안 섹션을 업데이트하여 앱이 '독립적으로 검증받았음'을 표시하면 1주일 이내에 데이터 보안 라벨에 자격이 표시됩니다.
이 프로그램을 외부에 언급할 때는 어떻게 해야 하나요?
인증을 완료한 개발자는 앱 방어 연합을 통해 독립적으로 검증을 받았다고 말할 수 있습니다.
개발자는 앱을 업데이트하거나 출시할 때마다 재인증을 받아야 하나요?
아니요. MASA 인증은 연간이며 특정 시점의 평가를 목적으로 합니다. 개발자는 보안 개발 수명 주기의 일환으로 내부 평가를 통해 규정 준수 상태를 지속적으로 유지해야 합니다.
이러한 앱의 연간 재인증 요구사항을 누가 추적하고 인증이 만료될 때 개발자에게 누가 알립니까?
인증을 유효하게 유지하는 것은 개발자의 책임입니다.
Google에서 실험실 결과나 결과에 액세스할 수 있나요?
Google은 앱이 요구사항을 충족하는지 여부를 나타내는 공인 연구소 파트너의 검증 보고서만 받습니다. 인증의 일환으로 애플리케이션 코드, 검사 결과 또는 취약점 발견사항이 Google과 공유되거나 공개되지 않습니다.
실험실 결과 / 평가 결과에 동의하지 않으면 어떻게 해야 하나요?
MASA 평가는 공인된 서드 파티 연구소에서 실시합니다. 평가 결과에 동의하지 않거나 규정 준수 상태에 관해 궁금한 점이 있으면 앱 테스트를 시작한 실험실에 직접 이의신청할 수 있습니다.
애플리케이션을 처음 게시하는 경우 어떻게 해야 하나요?
개발자는 사전 출시 빌드를 실험실에 제출하여 조기에 테스트할 수 있지만 최종 인증 버전은 Google Play 스토어에 게시된 공식 APK여야 합니다.
앱이 난독화된 경우 실험실에서 앱을 검토할 수 있나요?
난독화하면 실험실 테스트 도구에서 애플리케이션을 평가하기 어려울 수 있습니다. 이 경우 테스트를 원활하게 진행하기 위해 연구소에 추가 애셋을 전송해야 할 수 있으며 추가 요금이 발생할 수 있습니다.