Jakie korzyści z uczestnictwa w tym programie odnoszą deweloperzy?
Regularne testowanie aplikacji pod kątem bezpieczeństwa może pomóc w identyfikowaniu kluczowych luk w zabezpieczeniach aplikacji i zminimalizowaniu przyszłej odpowiedzialności. Google Play umożliwi deweloperom, którzy przeszli niezależną weryfikację, wyświetlanie informacji o niej w formularzu Bezpieczeństwa danych.
Jakie korzyści mają z tego użytkownicy?
Użytkownicy mogą mieć pewność, że aplikacje zostały sprawdzone przez zewnętrznych ekspertów, a także że są one bezpieczne.
Jakie typy aplikacji kwalifikują się do udziału w tym programie?
OWASP MASVS można stosować do każdej aplikacji mobilnej. Dotyczy to wielu kategorii aplikacji, takich jak IoT, fitness/zdrowie, komunikacja, VPN, produktywność i wiele innych.
Jaki jest zakres oceny?
Zakres oceny obejmuje bezpieczeństwo po stronie klienta, uwierzytelnianie w usłudze backendowej lub w usłudze w chmurze oraz łączność z taką usługą. Oceniane są ogólne zabezpieczenia i niektóre z najlepszych praktyk dotyczących prywatności.
Jakiego typu przypadki testowe obejmie ta ocena?
Ocena obejmie podzbiór wymagań MASVS poziomu 1, które można przetestować. Wymagania te są dostępne w GitHub tutaj.
Jak długo jest ważny certyfikat?
1 rok. Po upływie 1 roku deweloper jest odpowiedzialny za ponowne certyfikowanie aplikacji.
Jakie poziomy gwarancji zapewnia MASA i czym się one różnią?
MASA oferuje 2 poziomy gwarancji: AL1, czyli samoocenę z skanowaniem pliku APK i wypełnieniem kwestionariusza, oraz AL2, czyli kompleksową ocenę laboratoryjną z analizą statyczną i dynamiczną, która pozwala uzyskać plakietkę „Niezależna weryfikacja bezpieczeństwa” w Sklepie Play.
Ile to kosztuje?
Opłaty różnią się w zależności od partnera laboratorium, ale średnio można spodziewać się, że ocena będzie kosztować od 3 do 6 tys. USD w przypadku AL2 i 500 USD w przypadku AL1.
Ile czasu zajmuje ta procedura?
Po wypełnieniu niezbędnych dokumentów oczekuj oceny od laboratorium w ciągu 10 dni. Czas realizacji może się różnić w zależności od opinii laboratorium i możliwości Twojego zespołu do szybkiego wdrażania zmian.
Kto jest partnerem laboratorium?
Google współpracuje z autoryzowanymi laboratoriami, które przeprowadzają oceny aplikacji. Wszystkie autoryzowane laboratoria zapewniają kompleksowe testy zabezpieczeń i oferują deweloperom możliwość uzyskania certyfikatu zgodnego z opublikowanymi standardami.
Jak zacząć?
Deweloperzy mogą skontaktować się bezpośrednio z autoryzowanym laboratorium, aby rozpocząć proces testowania. Wszelkie opłaty lub wymagane dokumenty będą regulowane bezpośrednio między laboratorium a deweloperem.
Czy mogę przesłać własny test lub skorzystać z innej firmy?
Obecnie akceptujemy tylko wyniki oceny od autoryzowanych partnerów MASA.
Czy moi konkurenci zobaczą moje wyniki testu? Czy wyniki testu zostaną opublikowane?
Wyniki wstępnego testu zostaną udostępnione tylko Twojemu zespołom. Gdy aplikacja spełni wszystkie wymagania, laboratorium prześle do Google podsumowanie raportu, które będzie publicznie dostępne w katalogu MASA, który zostanie uruchomiony w przyszłości. Podsumowanie raportu jest ograniczone do zakresu testów i nie zawiera żadnych wrażliwych informacji związanych z Twoją aplikacją. Masz pełną kontrolę nad tym, kiedy chcesz udostępnić te wyniki publicznie.
Czy jest jakiś sposób na wyświetlenie tego w informacjach o aplikacji w Google Play?
Głównym sposobem wyświetlania tych informacji użytkownikom jest sekcja Bezpieczeństwo danych za pomocą plakietki bezpieczeństwa. Ta opcja jest dostępna tylko w przypadku aplikacji, które przeszły ocenę AL2. Rozważamy sposoby wyświetlania tych informacji większej liczbie użytkowników w Google Play.
Ile czasu zajmuje wyświetlenie wyników na etykiecie bezpieczeństwa danych?
Gdy zaktualizujesz sekcję Bezpieczeństwo danych, aby wskazać, że aplikacja została „sprawdzona niezależnie”, w ciągu tygodnia pojawi się odpowiednia informacja na etykiecie Bezpieczeństwa danych.
Jak mam się odwoływać do tego programu na zewnątrz?
Deweloperzy, którzy przeszli certyfikację, mogą twierdzić, że ich aplikacje zostały niezależnie zweryfikowane przez App Defense Alliance.
Czy deweloper musi ponownie uzyskać certyfikat w przypadku każdej aktualizacji lub wersji aplikacji?
Nie. Certyfikat MASA jest przyznawany raz w roku i ma charakter roczny. Deweloperzy powinni nadal przeprowadzać oceny wewnętrzne, aby aplikacja nadal spełniała wymagania w ramach cyklu zapewniania bezpieczeństwa.
Kto będzie śledzić coroczne wymagania dotyczące ponownego certyfikowania tych aplikacji i kto będzie informować deweloperów o wygaśnięciu certyfikatu?
Deweloper jest odpowiedzialny za utrzymanie ważności certyfikatu.
Czy Google będzie mieć dostęp do wyników lub ustaleń laboratorium?
Google otrzymuje tylko raport z weryfikacji od autoryzowanych partnerów Lab, który informuje, czy aplikacja spełnia wymagania. W ramach weryfikacji nie udostępnia się Google żadnego kodu aplikacji, wyników skanowania ani informacji o lukach.
Co zrobić, jeśli nie zgadzam się z wynikami testów lub oceną?
Oceny MASA są przeprowadzane przez autoryzowane laboratoria zewnętrzne. Jeśli nie zgadzasz się z wynikami oceny lub masz pytania dotyczące stanu zgodności, możesz odwołać się bezpośrednio do laboratorium, które rozpoczęło testowanie Twojej aplikacji.
Co zrobić, jeśli publikuję aplikację po raz pierwszy?
Deweloperzy mogą przesłać do laboratorium wersję przedpremierową w celu wczesnego testowania, ale certyfikowana wersja finalna musi być oficjalnym pakietem APK opublikowanym w Sklepie Google Play.
Czy laboratorium będzie mogło sprawdzić moją aplikację, jeśli jest zaciemniona?
Zaciemnienie może utrudnić narzędziom testowania laboratoryjnego ocenę Twojej aplikacji. W takich przypadkach może być konieczne przesłanie dodatkowych zasobów do laboratoriów, aby ułatwić testowanie. Mogą się też pojawić dodatkowe opłaty.