MASA Hakkında Sık Sorulan Sorular

Bu programın geliştiriciler için değeri nedir?

Uygulamanız için düzenli güvenlik testi yapmak, uygulamanızdaki temel güvenlik açıklarını tespit etmenize ve gelecekteki sorumlulukları azaltmanıza yardımcı olabilir. Google Play, bağımsız doğrulama sürecine tabi tutulan geliştiricilerin bunu Veri Güvenliği Formu'nda göstermesine izin verecektir.

Kullanıcılar için avantajları nelerdir?

Kullanıcılar, uygulamaların harici uzmanlar tarafından incelendiğinden emin olabilir ve bu tekliflerin güvenliği konusunda daha fazla güvence elde edebilir.

Bu program için hangi tür uygulamalar geçerlidir?

OWASP MASVS, tüm mobil uygulamalar için geçerlidir. Bu uygulamalar arasında; IoT, fitness/sağlık, sosyal, iletişim, VPN, üretkenlik ve daha birçok uygulama kategorisi yer alır.

Değerlendirmenin kapsamı nedir?

Değerlendirmenin kapsamı, istemci tarafı güvenliği, arka uç/bulut hizmetinde kimlik doğrulama ve genel güvenlik ile bazı gizlilik en iyi uygulamalarına bakarak arka uç/bulut hizmetine bağlantıdan oluşur.

Bu değerlendirme ne tür test durumlarını kapsar?

Değerlendirmede, GitHub'da bulunan test edilebilir 1. seviye MASVS şartlarından bir alt küme incelenir. Bu kümeye buradan ulaşabilirsiniz.

Sertifikanın geçerlilik süresi nedir?

1 yıl. 1 yıl sonra uygulamanın yeniden sertifika almasından geliştirici sorumludur.

MASA hangi güvenilirlik seviyelerini sunar ve bu seviyeler arasındaki fark nedir?

MASA iki güvenilirlik seviyesi sunar: APK taraması ve anket içeren kendi kendine değerlendirme olan AL1 ve statik ve dinamik analiz içeren kapsamlı bir laboratuvar değerlendirmesi olan AL2. AL2, uygulamanıza Play Store'da "Bağımsız güvenlik incelemesi" rozeti kazandırır.

Maliyeti nedir?

Ücretler laboratuvar iş ortağına göre değişir ancak ortalama olarak AL2 için 3-6 bin ABD doları, AL1 için 500 ABD doları tutarında bir maliyetle karşılaşabilirsiniz.

İşlem ne kadar sürer?

Gerekli dokümanları tamamladıktan sonra, laboratuvardan 10 gün içinde bir değerlendirme alabilirsiniz. Tamamlanma zaman aralıkları, laboratuvar geri bildirimine ve ekibinizin değişiklikleri hızlı bir şekilde uygulama yeteneğine bağlı olarak değişiklik gösterebilir.

Laboratuvar iş ortakları kimler?

Google, uygulama incelemelerini gerçekleştirmek için bir dizi yetkili laboratuvar ile iş ortaklığı yapmaktadır. Tüm yetkili laboratuvarlar kapsamlı güvenlik testleri sağlar ve geliştiricilere yayınlanan standartlara göre sertifika alma olanağı sunar.

Nereden başlayabilirim?

Geliştiriciler, test sürecini başlatmak için doğrudan bir Yetkili Laboratuvar ile çalışabilir. İncelemeyle ilgili ücretler ve gerekli evraklar, doğrudan laboratuvar ile geliştirici arasında halledilecektir.

Kendi testimi gönderebilir miyim / farklı bir laboratuvar kullanabilir miyim?

Şu anda yalnızca MASA yetkilisi laboratuvar iş ortaklarının değerlendirme sonuçlarını kabul ediyoruz.

Rakiplerim test sonuçlarını görebilir mi? Test sonuçlarım herkese açık olarak yayınlanır mı?

İlk test sonuçları yalnızca ekibinizle paylaşılır. Uygulama tüm koşulları karşıladıktan sonra laboratuvar, Google'a bir rapor özeti gönderir. Bu özet, ileride kullanıma sunulacak bir MASA dizininde herkese açık olarak yayınlanır. Rapor özeti, test kapsamıyla sınırlıdır ve uygulamanızla ilgili hassas bulgular içermez. Bu sonuçları ne zaman herkese açık hale getirmek istediğiniz konusunda tam kontrole sahipsiniz.

Bunu Google Play girişimizde göstermenin bir yolu var mı?

Bu bilgi, kullanıcılara öncelikle Veri Güvenliği bölümünde bir güvenlik rozeti aracılığıyla gösterilir. Bu seçenek yalnızca AL2 değerlendirmesini tamamlayan uygulamalarda kullanılabilir. Bu bilgileri Play'de daha fazla kullanıcıya göstermenin yollarını arıyoruz.

Sonuçların Veri Güvenliği etiketinde görünmesi ne kadar sürer?

Veri Güvenliği Formunuzu, uygulamanızın "bağımsız olarak doğrulandığını" belirtecek şekilde güncellediğinizde bu tanımlama, bir hafta içinde Veri Güvenliği etiketinizde görünecektir.

Bu programı harici olarak nasıl belirtmeliyim?

Sertifikayı tamamlayan geliştiriciler, App Defense Alliance aracılığıyla bağımsız olarak doğrulandıklarını söyleyebilir

Geliştiricilerin, uygulamalarının her güncellemesi veya sürümü için yeniden sertifika alması gerekir mi?

Hayır, MASA sertifikası yıllıktır ve belirli bir zamanda yapılan bir değerlendirmedir. Geliştiriciler, güvenlik geliştirme yaşam döngülerinin bir parçası olarak iç değerlendirmeler yoluyla uygunluğu sürdürmeye devam etmelidir.

Bu uygulamalar için yıllık yeniden sertifika şartlarını kim takip edecek ve geliştiricileri sertifikalarının ne zaman sona ereceği konusunda kim bilgilendirecek?

Sertifikanın geçerliliğini korumak geliştiricinin sorumluluğundadır.

Google, laboratuvar sonuçlarından veya bulgularından herhangi birine erişebilecek mi?

Google, yetkili laboratuvar iş ortaklarından yalnızca uygulamanın koşulları karşılayıp karşılamadığını belirten bir doğrulama raporu alır. Doğrulama kapsamında hiçbir uygulama kodu, tarama sonucu veya güvenlik açığı bulgusu Google ile paylaşılmaz veya açıklanmaz.

Laboratuvar bulgularını / değerlendirme sonuçlarını kabul etmezsem ne olur?

MASA değerlendirmeleri, yetkili üçüncü taraf laboratuvarlar tarafından yapılır. Değerlendirme sonuçlarını kabul etmezseniz veya uygunluk durumunuzla ilgili sorularınız varsa doğrudan uygulamanızın testini başlatan laboratuvara itiraz edebilirsiniz.

Uygulamamı ilk kez yayınlıyorsam ne olur?

Geliştiriciler, erken test için laboratuvara yayın öncesi bir derleme gönderebilir ancak nihai, sertifikalı sürüm Google Play Store'da yayınlanan resmi APK olmalıdır.

Kod karartması yapılmışsa lab, uygulamamı inceleyebilir mi?

Kod karartma, laboratuvar test araçlarının uygulamanızı değerlendirmesini zorlaştırabilir. Bu gibi durumlarda, testin kolaylaştırılması için laboratuvarlara ek öğeler göndermeniz gerekebilir ve ek ücretler ödemeniz gerekebilir.