Qual é o valor desse programa para os desenvolvedores?
A realização de testes de segurança regulares no app ajuda você a identificar as principais vulnerabilidades dele e reduzir responsabilidades futuras. O Google Play vai permitir que os desenvolvedores que passaram por uma validação independente mostrem isso no formulário de Segurança dos dados.
Qual é o benefício para os usuários?
Os usuários podem ter mais confiança de que os apps foram analisados por especialistas externos e têm uma garantia maior sobre a segurança dessas ofertas.
Quais tipos de apps são aplicáveis a esse programa?
O MASVS da OWASP é aplicável a qualquer app para dispositivos móveis, incluindo uma variedade de categorias, como IoT, fitness/saúde, social, comunicação, VPN, produtividade e muito mais.
Qual é o escopo da avaliação?
O escopo da avaliação consiste na segurança do lado do cliente, na autenticação do serviço de back-end/nuvem e na conectividade com o serviço de back-end/nuvem, considerando a segurança geral e algumas práticas de privacidade recomendadas.
Que tipo de casos de teste serão cobertos por essa avaliação?
A avaliação vai analisar um subconjunto de requisitos testáveis do MASVS de nível 1 disponíveis no GitHub neste link.
Por quanto tempo o certificado é válido?
1 ano. Após um ano, o desenvolvedor é responsável por recertificar o app.
Quais níveis de garantia a MASA oferece e qual é a diferença entre eles?
A MASA oferece dois níveis de garantia: AL1, uma autoavaliação com verificação de APK e um questionário, e AL2, uma avaliação abrangente de laboratório com análises estáticas e dinâmicas, que confere ao app um selo de "Análise independente de segurança" na Play Store.
Qual é o custo?
As taxas variam de acordo com o laboratório parceiro, mas, em média, a avaliação custa entre US$ 3 mil e US$ 6 mil para AL2 e US$ 500 para AL1.
Quanto tempo leva o processo?
Depois de concluir a documentação necessária, você pode esperar uma avaliação do laboratório em até 10 dias. Os prazos para conclusão podem variar dependendo do feedback do laboratório e da capacidade da sua equipe de implementar mudanças rapidamente.
Quem são os parceiros do laboratório?
O Google integrou um conjunto de laboratórios autorizados para realizar as avaliações de apps. Todos os laboratórios autorizados fazem testes de segurança abrangentes e oferecem aos desenvolvedores os meios para receber certificação em relação aos padrões publicados.
Como começar?
Os desenvolvedores podem trabalhar diretamente com um laboratório autorizado para iniciar o processo de teste. As taxas ou documentos necessários serão tratados diretamente entre o laboratório e o desenvolvedor.
Posso enviar meu próprio teste / usar um laboratório diferente?
No momento, só aceitamos resultados de avaliação de parceiros de laboratório autorizados da MASA. Se você estiver trabalhando com um laboratório que tem interesse em participar do programa, peça para ele preencher o formulário aqui.
Meus concorrentes vão ter acesso aos resultados do meu teste? Meus resultados do teste serão divulgados publicamente?
Os resultados do teste inicial só serão compartilhados com sua equipe. Depois que o app atender a todos os requisitos, o laboratório vai enviar um resumo do relatório ao Google, que será disponibilizado publicamente em um diretório do MASA que será lançado no futuro. O resumo do relatório é limitado ao escopo de teste e não inclui descobertas sensíveis relacionadas ao app. Você tem controle total sobre quando quer tornar esses resultados públicos.
Há alguma maneira de mostrar isso na nossa página "Detalhes do app" no Google Play?
A principal forma de mostrar isso aos usuários é pela seção "Segurança dos dados" usando um selo de segurança. Essa opção está disponível apenas para os aplicativos que concluíram a avaliação AL2. Estamos buscando maneiras de mostrar essas informações para mais usuários no Google Play.
Quanto tempo leva para os resultados aparecerem no rótulo de segurança de dados?
Depois de atualizar a seção "Segurança dos dados" para indicar que o app "passou por uma validação independente", a designação vai aparecer no rótulo de Segurança dos dados em uma semana.
Como devo me referir a esse programa externamente?
Os desenvolvedores que concluíram a certificação podem dizer que foram validados de forma independente pela App Defense Alliance.
O desenvolvedor precisa receber uma nova certificação para cada atualização ou lançamento do app?
Não, a certificação MASA é anual e tem como objetivo avaliar um momento específico. Os desenvolvedores precisam continuar mantendo a compliance com avaliações internas como parte do ciclo de vida de desenvolvimento de segurança.
Quem vai acompanhar os requisitos de renovação anual desses apps e notificar os desenvolvedores quando a certificação deles expirar?
É responsabilidade do desenvolvedor manter a certificação válida.
O Google terá acesso a algum dos resultados ou descobertas do laboratório?
O Google só recebe um relatório de validação dos parceiros do laboratório autorizado informando se o app atende aos requisitos ou não. Nenhum código de aplicativo, resultado de verificação ou vulnerabilidade é compartilhado ou divulgado ao Google como parte da verificação.
E se eu discordar dos resultados do laboratório / da avaliação?
As avaliações da MASA são realizadas por laboratórios terceirizados autorizados. Se você não concordar com os resultados da avaliação ou tiver dúvidas sobre o status da sua conformidade, abra uma contestação diretamente para o laboratório que iniciou o teste do seu app.
E se eu publicar meu app pela primeira vez?
Os desenvolvedores podem enviar um build de pré-lançamento ao laboratório para testes iniciais, mas a versão final certificada precisa ser o APK oficial publicado na Google Play Store.
O laboratório vai conseguir analisar meu app se ele estiver ofuscado?
A ofuscação pode dificultar a avaliação do seu aplicativo pelas ferramentas de teste de laboratório. Nesses casos, talvez seja necessário enviar outros recursos para os laboratórios para facilitar os testes, e você pode incorrer em taxas adicionais.