這項計畫對開發人員有何價值?
定期測試應用程式的安全性有助於找出應用程式重大安全漏洞,並減輕日後可能須承擔的責任。Google Play 會允許經過獨立驗證的開發人員,在資料安全性表單上顯示這項資訊。
使用者可獲得哪些好處?
使用者可以放心,這些應用程式已通過外部專家的審查,且這些產品的安全性 / 隱私權受到更嚴格的保障。
哪些類型的應用程式適用這項計畫?
OWASP MASVS 適用於任何行動應用程式,包括物聯網、健身/健康、社群、通訊、VPN、生產力提升等多種應用程式類別。
評估範圍為何?
評估範圍包括用戶端安全性、後端/雲端服務的驗證,以及與後端/雲端服務的連線能力,以便瞭解一般安全性和部分隱私權最佳做法。
這項評估會涵蓋哪些類型的測試案例?
評估會審查部分可測試的 MASVS 第 1 級要求,詳情請參閱 GitHub。
認證效期有多久?
1 年。1 年後,開發人員必須重新認證應用程式。
MASA 提供哪些保障等級,這些等級有何差異?
MASA 提供兩個保證級別:AL1 是透過 APK 掃描和問卷進行的自我評估,AL2 則是透過靜態和動態分析進行的全面研究室評估,可讓您的應用程式在 Play 商店中獲得「獨立安全性審查」徽章。
所需費用是多少?
費用因實驗室合作夥伴而異,但平均而言,AL2 的評估費用約為 $3,000 至 $6,000 美元,AL1 則約為 $500 美元。
這項程序需要多久時間?
填妥必要文件後,研究室會在 10 天內評估您的應用程式。完成時間可能因實驗室的意見回饋和團隊快速導入變更的能力而異。
實驗室合作夥伴是誰?
Google 已與許多授權研究室合作,共同執行應用程式評估作業。所有授權研究室都提供全面的安全性測試,並為開發人員提供取得已發布標準認證的方法。
如何開始使用?
開發人員可以直接與授權研究室合作,啟動測試程序。任何費用或必要的文件,都會由研究室和開發人員直接處理。
我可以提交自己的檢測結果 / 使用其他實驗室嗎?
目前,我們只接受 MASA 授權實驗室合作夥伴的評估結果。
競爭對手是否可以查看我的測試結果? 我的測驗結果會公開嗎?
初步測試結果只會與您的團隊分享。 應用程式符合所有要求後,研究室就會向 Google 提交報告摘要,並在日後推出的 MASA 目錄中公開發布。報表摘要僅限於測試範圍,且不包含任何與應用程式相關的敏感發現。您可以完全控制何時要將這些結果公開。
是否有任何方法可以在 Google Play 商店資訊中顯示這項資訊?
這項資訊的主要呈現方式,是透過安全標章在「資料安全性」專區顯示。這個選項僅適用於已完成 AL2 評估的應用程式。我們正在研究如何向更多 Play 使用者顯示這項資訊。
結果要多久才會顯示在「資料安全性」標籤上?
更新「資料安全性」專區,指出應用程式已「通過獨立驗證」後,這項資訊會在 1 週內顯示在資料安全性標籤上。
我應該如何向外部人士介紹這項計畫?
完成認證的開發人員可以宣稱已通過 App Defense Alliance 的獨立驗證
開發人員是否必須在每次更新或發布應用程式時重新認證?
否,MASA 認證是每年進行一次的評估。開發人員應持續透過內部評估來維持法規遵循,這也是安全開發生命週期的一部分。
誰會追蹤這些應用程式的年度重新認證規定,以及誰會在認證到期時通知開發人員?
開發人員有責任確保認證有效。
Google 是否可存取任何實驗室結果或研究成果?
Google 只會收到授權研究室合作夥伴提供的驗證報告,指出應用程式是否符合規定。驗證過程中,您不會將應用程式程式碼、掃描結果或漏洞發現結果分享或揭露給 Google。
如果我對實驗室檢測結果 / 評估結果有異議,該怎麼辦?
MASA 評估是由第三方授權實驗室進行。如果您不同意評估結果,或對合規狀態有任何疑問,可以直接向發起應用程式測試的實驗室提出申訴。
如果我首次發布應用程式,該怎麼辦?
開發人員可以將預發布版本提交至實驗室進行早期測試,但最終獲得認證的版本必須是發布在 Google Play 商店的官方 APK。
如果我的應用程式經過模糊處理,研究室是否仍能審查?
模糊處理可能會讓實驗室測試工具難以評估您的應用程式。 在這種情況下,您可能需要向研究室傳送其他資產,以利測試,且可能會產生額外費用。