Bu programın geliştiriciler için değeri nedir?
Uygulamanızda düzenli olarak güvenlik testleri gerçekleştirmek, uygulamanızdaki önemli güvenlik açıklarını belirlemenize ve gelecekteki sorumluluğunuzu azaltmanıza yardımcı olabilir. Google Play, bağımsız doğrulama sürecine tabi tutulmuş geliştiricilerin bu durumu Veri Güvenliği Formu'nda göstermesine izin verecektir.
Kullanıcılar için avantajları nelerdir?
Kullanıcılar, uygulamaların harici uzmanlar tarafından incelendiğinden emin olabilir ve bu tekliflerin güvenliği konusunda daha fazla güvence elde edebilir.
Bu program için hangi uygulama türleri geçerlidir?
OWASP MASVS, tüm mobil uygulamalar için geçerlidir. Bu uygulamalar arasında IoT, fitness/sağlık, sosyal, iletişim, VPN, üretkenlik ve daha birçok uygulama kategorisi yer alır.
Değerlendirmenin kapsamı nedir?
Değerlendirmenin kapsamı; istemci tarafı güvenlik, arka uç/bulut hizmetinde kimlik doğrulama ve genel güvenlik ile bazı gizlilik en iyi uygulamalarına bakarak arka uç/bulut hizmetine bağlantıdan oluşur.
Bu değerlendirme ne tür test durumlarını kapsar?
Değerlendirmede, GitHub'da bulunan test edilebilir 1. seviye MASVS şartlarından bir alt küme incelenir. Bu kümeye buradan ulaşabilirsiniz.
Sertifikanın geçerlilik süresi nedir?
1 yıl. 1 yıl sonra uygulamanın yeniden sertifika almasından geliştirici sorumludur.
MASA hangi güvenilirlik seviyelerini sağlar ve bunlar arasındaki fark nedir?
MASA iki güvenilirlik seviyesi sunar: APK taraması ve anket içeren kendi kendine değerlendirme olan AL1 ve statik ve dinamik analiz içeren kapsamlı bir laboratuvar değerlendirmesi olan AL2. AL2, uygulamanıza Play Store'da "Bağımsız güvenlik incelemesi" rozeti kazandırır.
Maliyeti nedir?
Ücretler, laboratuvar iş ortağına göre değişir ancak ortalama olarak değerlendirmenin AL2 için 3-6 bin ABD doları, AL1 için 500 ABD doları tutmasını bekleyebilirsiniz.
İşlem ne kadar sürer?
Gerekli evrakları tamamladığınızda laboratuvar muhtemelen 10 gün içinde size bir değerlendirme gönderecektir. İncelemenin tamamlanmasıyla ilgili zaman aralıkları, laboratuvar geri bildirimlerine ve ekibinizin değişiklikleri hızlı bir şekilde uygulama yeteneğine göre değişebilir.
Laboratuvar iş ortakları kimlerdir?
Google, uygulama incelemelerini gerçekleştirmek için bir dizi yetkili laboratuvar ile iş ortaklığı yapmaktadır. Yetkili laboratuvarların tamamı, kapsamlı güvenlik testleri gerçekleştirir ve geliştiricilere yayınlanmış standartlara göre sertifika alma olanağı sunar.
Nereden başlayabilirim?
Geliştiriciler, test sürecini başlatmak için doğrudan bir Yetkili Laboratuvar ile çalışabilir. İncelemeyle ilgili ücretler ve gerekli evraklar, doğrudan laboratuvar ile geliştirici arasında halledilecektir.
Kendi testimi gönderebilir miyim / farklı bir laboratuvar kullanabilir miyim?
Şu anda yalnızca MASA yetkili laboratuvar iş ortaklarının değerlendirme sonuçlarını kabul ediyoruz. Programa katılmak isteyen bir laboratuvarla çalışıyorsanız lütfen buradaki formu doldurmalarını isteyin.
Rakiplerim test sonuçlarını görebilir mi? Test sonuçlarım herkese açık olacak mı?
İlk test sonuçları yalnızca ekibinizle paylaşılır. Uygulama tüm şartları karşıladığında laboratuvar, Google'a bir rapor özeti gönderir. Bu özet, ileride kullanıma sunulacak bir MASA dizininde herkese açık olarak yayınlanır. Rapor özeti, test kapsamıyla sınırlıdır ve uygulamanızla ilgili hassas bulgular içermez. Bu sonuçları ne zaman herkese açık hale getirmek istediğiniz konusunda tam kontrole sahipsiniz.
Bunu Google Play girişimizde göstermenin bir yolu var mı?
Bu durumun kullanıcılara gösterilmesinin birincil yolu, Veri Güvenliği bölümündeki güvenlik rozetidir. Bu seçenek yalnızca AL2 değerlendirmesini tamamlayan uygulamalarda kullanılabilir. Bu bilgileri Play'de daha fazla kullanıcıya göstermenin yollarını araştırıyoruz.
Sonuçların Veri Güvenliği etiketinde görünmesi ne kadar sürer?
Veri Güvenliği Formunuzu, uygulamanızın "bağımsız olarak doğrulandığını" belirtecek şekilde güncellediğinizde bu tanımlama, bir hafta içinde Veri Güvenliği etiketinizde görünecektir.
Bu programı harici olarak nasıl belirtmeliyim?
Sertifikasyonu tamamlayan geliştiriciler, App Defense Alliance aracılığıyla bağımsız olarak doğrulandıklarını belirtebilir
Geliştiricilerin, uygulamalarının her güncellemesi veya sürümü için yeniden sertifika alması gerekir mi?
Hayır, MASA sertifikası yıllıktır ve belirli bir zamanda yapılan bir değerlendirmedir. Geliştiriciler, güvenlik geliştirme yaşam döngüsü kapsamında şirket içi değerlendirmelerle uygunluğu sürdürmeye devam etmelidir.
Bu uygulamalar için yıllık yeniden sertifika şartlarını kim takip edecek ve geliştiricileri sertifikalarının ne zaman sona ereceği konusunda kim bilgilendirecek?
Sertifikanın geçerliliğini korumak geliştiricinin sorumluluğundadır.
Google, laboratuvar sonuçlarından veya bulgularından herhangi birine erişebilir mi?
Google, yetkili laboratuvar iş ortaklarından yalnızca uygulamanın koşulları karşılayıp karşılamadığını belirten bir doğrulama raporu alır. Doğrulama kapsamında hiçbir uygulama kodu, tarama sonucu veya güvenlik açığı bulgusu Google ile paylaşılmaz veya açıklanmaz.
Laboratuvar bulgularını / değerlendirme sonuçlarını kabul etmezsem ne olur?
MASA değerlendirmeleri, yetkili üçüncü taraf laboratuvarlar tarafından yapılır. Değerlendirme sonuçlarını kabul etmezseniz veya uygunluk durumunuzla ilgili sorularınız varsa doğrudan uygulamanızın testini başlatan laboratuvara itiraz edebilirsiniz.
Uygulamamı ilk kez yayınlıyorsam ne olur?
Geliştiriciler, erken test için laboratuvara yayın öncesi bir derleme gönderebilir ancak nihai, sertifikalı sürüm Google Play Store'da yayınlanan resmi APK olmalıdır.
Kod karartması yapılmışsa laboratuvar uygulamamı inceleyebilir mi?
Kod karartma, laboratuvar test araçlarının uygulamanızı değerlendirmesini zorlaştırabilir. Bu gibi durumlarda, testin kolaylaştırılması için laboratuvarlara ek öğeler göndermeniz gerekebilir ve ek ücretler ödemeniz gerekebilir.