โปรแกรมนี้มีประโยชน์ต่อนักพัฒนาแอปอย่างไร
การทำการตรวจสอบความปลอดภัยเป็นประจำสำหรับแอปพลิเคชันจะช่วยให้คุณระบุช่องโหว่ที่สำคัญในแอปและลดภาระหน้าที่ในอนาคตได้ Google Play จะอนุญาตให้นักพัฒนาแอปที่ผ่านการตรวจสอบโดยองค์กรอิสระแสดงข้อมูลนี้ในแบบฟอร์มความปลอดภัยของข้อมูล
ประโยชน์ที่ผู้ใช้จะได้รับมีอะไรบ้าง
ผู้ใช้จะมั่นใจได้ว่าแอปได้รับการตรวจสอบโดยผู้เชี่ยวชาญภายนอก และมั่นใจมากขึ้นเกี่ยวกับความปลอดภัยของข้อเสนอเหล่านั้น
แอปประเภทใดบ้างที่เข้าร่วมโปรแกรมนี้ได้
OWASP MASVS ใช้ได้กับแอปบนอุปกรณ์เคลื่อนที่ทุกประเภท ซึ่งรวมถึงแอปหมวดหมู่ต่างๆ เช่น IoT, การออกกำลังกาย/สุขภาพ, โซเชียล, การสื่อสาร, VPN, ประสิทธิภาพการทำงาน และอื่นๆ อีกมากมาย
ขอบเขตการประเมินคืออะไร
ขอบเขตการประเมินประกอบด้วยการรักษาความปลอดภัยฝั่งไคลเอ็นต์ การตรวจสอบสิทธิ์เพื่อเข้าถึงบริการแบ็กเอนด์/ระบบคลาวด์ และการเชื่อมต่อกับบริการแบ็กเอนด์/ระบบคลาวด์ โดยพิจารณาจากการรักษาความปลอดภัยทั่วไปและแนวทางปฏิบัติแนะนำด้านความเป็นส่วนตัวบางส่วน
การประเมินนี้จะครอบคลุมเฟรมเวิร์กการทดสอบประเภทใดบ้าง
การประเมินจะตรวจสอบข้อกำหนด MASVS ระดับ 1 บางส่วนที่ทดสอบได้ ซึ่งมีอยู่ใน GitHub ที่นี่
ใบรับรองมีอายุการใช้งานเท่าใด
1 ปี หลังจากผ่านไป 1 ปี นักพัฒนาแอปมีหน้าที่รับผิดชอบในการรับรองแอปอีกครั้ง
MASA มีระดับความเชื่อมั่นใดบ้างและระดับความเชื่อมั่นเหล่านี้แตกต่างกันอย่างไร
MASA มีระดับความเชื่อมั่น 2 ระดับ ได้แก่ AL1 ซึ่งเป็นการประเมินตนเองด้วยการสแกน APK และแบบสอบถาม และ AL2 ซึ่งเป็นการประเมินจากห้องทดลองที่ครอบคลุมด้วยการวิเคราะห์แบบคงที่และแบบไดนามิก ซึ่งจะทำให้แอปของคุณได้รับป้าย "การตรวจสอบความปลอดภัยโดยองค์กรอิสระ" ใน Play Store
มีค่าใช้จ่ายเท่าใด
ค่าธรรมเนียมจะแตกต่างกันไปตามพาร์ทเนอร์ห้องทดลอง แต่โดยเฉลี่ยแล้วการประเมินจะอยู่ที่ประมาณ $3,000-6,000 สำหรับ AL2 และ $500 สำหรับ AL1
ขั้นตอนนี้ใช้เวลานานเท่าไร
เมื่อคุณกรอกเอกสารที่จำเป็นเรียบร้อยแล้ว คุณจะได้รับการประเมินจากห้องทดลองภายใน 10 วัน กรอบเวลาในการดำเนินการให้เสร็จสมบูรณ์อาจแตกต่างกันไปตามความคิดเห็นจากทีมทดสอบและความสามารถของทีมในการนำการเปลี่ยนแปลงไปใช้อย่างรวดเร็ว
พาร์ทเนอร์ห้องทดลองคือใคร
Google ได้เริ่มต้นใช้งานชุดห้องทดลองที่ได้รับอนุญาตเพื่อประเมินแอป Authorized Lab ทุกแห่งให้บริการทดสอบความปลอดภัยที่ครอบคลุมและเสนอวิธีรับการรับรองตามมาตรฐานที่เผยแพร่
ฉันจะเริ่มต้นใช้งานได้อย่างไร
นักพัฒนาแอปมีโอกาสได้ทํางานร่วมกับ Authorized Lab โดยตรงเพื่อเริ่มขั้นตอนการทดสอบ โดยห้องทดลองและนักพัฒนาแอปจะจัดการเรื่องค่าธรรมเนียมหรือเอกสารประกอบที่จำเป็นโดยตรง
ฉันส่งการทดสอบของตัวเอง / ใช้ห้องทดลองอื่นได้ไหม
ในขณะนี้ เรายอมรับเฉพาะผลการประเมินจากพาร์ทเนอร์ห้องทดลองที่ได้รับอนุญาตจาก MASA เท่านั้น หากคุณทํางานร่วมกับห้องทดลองที่สนใจเข้าร่วมโปรแกรม โปรดให้ห้องทดลองกรอกแบบฟอร์มที่นี่
คู่แข่งจะเห็นผลการทดสอบของฉันไหม ผลการทดสอบของฉันจะเผยแพร่ต่อสาธารณะไหม
ผลการทดสอบขั้นต้นจะแชร์กับทีมของคุณเท่านั้น เมื่อแอปเป็นไปตามข้อกำหนดทั้งหมดแล้ว ห้องทดลองจะส่งรายงานสรุปไปยัง Google ซึ่งจะเผยแพร่ต่อสาธารณะในไดเรกทอรี MASA ที่เปิดตัวในอนาคต สรุปรายงานจะจำกัดขอบเขตการทดสอบและจะไม่รวมข้อมูลเชิงลึกที่ละเอียดอ่อนที่เกี่ยวข้องกับแอปของคุณ คุณมีสิทธิ์ควบคุมอย่างเต็มที่ว่าจะเผยแพร่ผลลัพธ์เหล่านี้เมื่อใด
มีวิธีแสดงข้อมูลนี้ในข้อมูลผลิตภัณฑ์ใน Google Play ไหม
วิธีที่หลักๆ ที่ข้อมูลนี้จะแสดงต่อผู้ใช้คือผ่านส่วนความปลอดภัยของข้อมูลผ่านป้ายความปลอดภัย ตัวเลือกนี้ใช้ได้กับแอปพลิเคชันที่ผ่านการประเมิน AL2 แล้วเท่านั้น เรากำลังหาวิธีแสดงข้อมูลนี้แก่ผู้ใช้ใน Play จำนวนมากขึ้น
ผลการค้นหาจะใช้เวลานานเท่าใดจึงจะแสดงในป้ายกำกับความปลอดภัยของข้อมูล
เมื่อคุณอัปเดตส่วนความปลอดภัยของข้อมูลเพื่อระบุว่าแอปของคุณ "ได้รับการตรวจสอบโดยองค์กรอิสระ" แล้ว ป้ายดังกล่าวจะปรากฏบนป้ายความปลอดภัยของข้อมูลภายใน 1 สัปดาห์
ฉันควรอ้างอิงถึงโปรแกรมนี้กับภายนอกอย่างไร
นักพัฒนาแอปที่ได้รับการรับรองแล้วสามารถระบุว่าแอปของตนได้รับการตรวจสอบโดยอิสระผ่าน App Defense Alliance
นักพัฒนาแอปต้องได้รับการรับรองอีกครั้งสำหรับการอัปเดตหรือรุ่นของแอปแต่ละครั้งหรือไม่
ไม่ การรับรอง MASA เป็นแบบรายปีและมีไว้เพื่อประเมิน ณ ช่วงเวลาหนึ่งๆ นักพัฒนาแอปควรปฏิบัติตามข้อกำหนดอย่างต่อเนื่องผ่านการประเมินภายใน ซึ่งเป็นส่วนหนึ่งของวงจรการพัฒนาความปลอดภัย
ใครจะติดตามข้อกำหนดในการขอการรับรองอีกครั้งทุกปีสำหรับแอปเหล่านี้ และใครจะแจ้งให้นักพัฒนาแอปทราบเมื่อการรับรองจะหมดอายุ
นักพัฒนาแอปมีหน้าที่รับผิดชอบในการรักษาการรับรองให้ถูกต้อง
Google จะมีสิทธิ์เข้าถึงผลการตรวจหรือผลการวิจัยไหม
Google จะได้รับเฉพาะรายงานการตรวจสอบจากพาร์ทเนอร์ห้องทดลองที่ได้รับอนุญาตซึ่งระบุว่าแอปเป็นไปตามข้อกำหนดหรือไม่ ไม่มีการแชร์หรือเปิดเผยโค้ดแอปพลิเคชัน ผลการสแกน หรือสิ่งที่พบเกี่ยวกับช่องโหว่กับ Google ในการยืนยัน
จะเกิดอะไรขึ้นหากฉันไม่เห็นด้วยกับผลการทดสอบ / การประเมิน
การประเมิน MASA ดำเนินการโดยห้องทดลองที่ได้รับอนุญาตของบุคคลที่สาม หากไม่เห็นด้วยกับผลการทดสอบหรือมีข้อสงสัยเกี่ยวกับสถานะการปฏิบัติตามข้อกำหนด คุณสามารถยื่นอุทธรณ์ไปยังห้องทดลองที่เริ่มการทดสอบแอปของคุณได้โดยตรง
จะเกิดอะไรขึ้นหากฉันเผยแพร่แอปพลิเคชันเป็นครั้งแรก
นักพัฒนาแอปสามารถส่งบิลด์รุ่นทดลองไปยังห้องทดลองเพื่อทดสอบตั้งแต่เนิ่นๆ แต่เวอร์ชันสุดท้ายที่ได้รับการรับรองต้องเป็น APK อย่างเป็นทางการที่เผยแพร่ใน Google Play Store
ทีมวิจัยจะตรวจสอบแอปของฉันได้ไหมหากแอปมีความสับสน
การสร้างความสับสนอาจทําให้เครื่องมือทดสอบในห้องทดลองประเมินแอปพลิเคชันของคุณได้ยาก ในกรณีเหล่านี้ คุณอาจต้องส่งชิ้นงานเพิ่มเติมไปยังห้องทดลองเพื่อให้ทำการทดสอบได้ และอาจต้องเสียค่าธรรมเนียมเพิ่มเติม