此计划对开发者有什么价值?
定期对应用进行安全测试有助于您找出应用中的关键漏洞,并减轻未来承担的责任。Google Play 将允许已通过独立验证的开发者在数据安全表单中说明此问题。
对用户有什么好处?
这样一来,用户就可以确信应用已经过外部专家的审查,他们对这些工具的安全性 / 安全性也更有保证。
哪些类型的应用适合此计划?
OWASP MASVS 适用于所有移动应用,包括 IoT、健身/健康、社交、通讯、VPN、效率等众多应用类别。
评估范围是什么?
评估范围包括客户端安全性、对后端/云服务的身份验证以及与后端/云服务的连接,其目的是了解常规安全性和某些隐私权最佳做法。
此评估涵盖哪些类型的测试用例?
该知识评测将在此处审核 GitHub 上提供的可测试的 1 级 MASVS 要求。
证书的有效期是多久?
1 年。1 年后,开发者负责对其应用进行重新认证。
需要多少费用?
费用因实验合作伙伴而异,但平均而言,评估费用可能在 3-6000 美元之间。
验证过程需要多长时间?
完成必要的文书工作后,您应该会在 10 天内收到实验室给出的评估结果。完成时间表因实验反馈和您的团队能否快速实施更改而异。
实验合作伙伴有哪些?
Google 已授权一组实验室执行应用评估。所有经过授权的实验室提供了全面的安全测试,并为开发者提供了根据已发布标准进行认证的途径。
如何开始使用?
开发者有机会直接与授权实验室合作启动测试流程。实验室和开发者将直接处理所有费用或所需书面工作。
我可以提交自己的测试 / 使用其他实验室吗?
目前,我们仅接受来自 MASA 授权的实验室合作伙伴的评估结果。如果您正在与有意参与该计划的实验室合作,请让他们填写此处的表单。
我的竞争对手会看到我的测试结果吗? 我的检测结果会公开吗?
最初的测试结果只会与您的团队分享。 应用满足所有要求后,实验室会向 Google 提交一份报告摘要,这些报告将在日后发布的 MASA 目录中公开提供。报告摘要仅限于测试范围,不包含任何与您的应用相关的敏感发现结果。对于您希望将这些结果设为公开的时间,您可以完全控制。
能否在我们的 Google Play 商品详情中展示此类内容?
向用户呈现的主要方式是通过安全标志通过“数据安全”部分。我们正在研究如何向 Play 中的更多用户展示此类信息。
Google Play 商店中的应用是否必须获得认证?
目前,我们不打算强制要求应用开发者进行认证。
结果需要多长时间才会显示在“数据安全”标签上?
一旦您更新“数据安全”部分,以指明您的应用已“经过独立验证”,该标识会在一周内显示在“数据安全”标签上。
我该如何在外部引用该计划?
已完成认证的开发者可以声明其已通过 App Defense Alliance 进行独立验证