Tổng quan
Việc đầu tư vào khả năng bảo mật dành cho thiết bị di động là điều tối quan trọng để đảm bảo sự an toàn của ứng dụng cho hàng tỷ người dùng trên Google Play. OWASP (Dự án bảo mật ứng dụng web mở) đã tự khẳng định mình là một tiêu chuẩn ngành được tôn trọng cao về việc bảo mật ứng dụng dành cho thiết bị di động. Bộ yêu cầu bảo mật mà họ đã phát hành, Tiêu chuẩn xác minh bảo mật ứng dụng di động (MASVS) cung cấp một bộ tiêu chí bảo mật cơ sở cho nhà phát triển. Cùng với bộ tiêu chí kiểm thử đã phát hành, MASTG (Hướng dẫn kiểm thử tính bảo mật của ứng dụng di động), OWASP là một phương tiện mục tiêu để nhà phát triển có thể đánh giá ứng dụng theo một tiêu chuẩn chung. Nhà phát triển có thể làm việc trực tiếp với đối tác Phòng thí nghiệm được Google uỷ quyền để bắt đầu quá trình đánh giá bảo mật. Thông qua MASA, Google sẽ nhận ra những nhà phát triển có ứng dụng được xác thực độc lập dựa trên một tập hợp yêu cầu của MASVS Cấp 1.
Lợi ích
Việc thường xuyên kiểm thử bảo mật có thể giúp nhà phát triển xác định các lỗ hổng chính trong ứng dụng của họ. Google Play sẽ cho phép các nhà phát triển đã hoàn thành quy trình xác thực độc lập trình bày thông tin này trong mục An toàn dữ liệu của mình. Điều này giúp người dùng cảm thấy yên tâm hơn về cam kết của ứng dụng đối với tính bảo mật và quyền riêng tư.
Cách thức hoạt động
Nếu bạn là nhà phát triển và muốn tham gia, vui lòng liên hệ trực tiếp với một trong các Phòng thí nghiệm được uỷ quyền trong danh sách bên dưới để bắt đầu quy trình kiểm thử. Mọi khoản phí hoặc giấy tờ cần thiết sẽ được xử lý trực tiếp giữa phòng thí nghiệm và nhà phát triển. Phòng thí nghiệm sẽ kiểm thử phiên bản công khai của ứng dụng có trên Cửa hàng Play và trực tiếp cung cấp ý kiến phản hồi đánh giá cho nhà phát triển. Labs cung cấp các bước khắc phục để giúp nhà phát triển khắc phục mọi vấn đề bị gắn cờ. Khi ứng dụng đáp ứng tất cả yêu cầu, phòng thí nghiệm đó sẽ trực tiếp gửi Báo cáo xác thực cho Google để xác nhận, và nhà phát triển sẽ đủ điều kiện khai báo huy hiệu bảo mật trên biểu mẫu an toàn dữ liệu của họ. Trung bình, quy trình này mất khoảng 2-3 tuần từ lần đánh giá đầu tiên cho đến khi có huy hiệu.
Tuyên bố từ chối trách nhiệm
MASA nhằm giúp bạn hiểu rõ hơn về cấu trúc bảo mật của ứng dụng. Tuy nhiên, tính chất hạn chế của việc kiểm thử không đảm bảo hoàn toàn an toàn cho ứng dụng. Quy trình đánh giá độc lập này có thể không thuộc phạm vi xác minh tính chính xác và đầy đủ của nội dung khai báo An toàn dữ liệu của nhà phát triển. Nhà phát triển chịu hoàn toàn trách nhiệm về việc khai báo đầy đủ và chính xác tại trang thông tin của ứng dụng trên Cửa hàng Play.
Câu hỏi thường gặp
Hãy nhấp vào đây để tìm hiểu thêm về MASA và xem câu trả lời cho các câu hỏi thường gặp.
Đối tác của chúng tôi
Google đã triển khai một nhóm Phòng thí nghiệm được uỷ quyền để tiến hành đánh giá ứng dụng. Tất cả các Phòng thí nghiệm được uỷ quyền đều cung cấp quy trình kiểm thử bảo mật toàn diện và cung cấp cho nhà phát triển các phương tiện để xác thực theo các tiêu chuẩn đã xuất bản. Do quá trình di chuyển sang Linux Foundation, chúng tôi đã tạm dừng làm quen với các phòng thí nghiệm mới.
Đối tác Labs được uỷ quyền
Hãy bắt đầu bài đánh giá MASA bằng cách liên hệ với các đối tác phòng thí nghiệm để bắt đầu xét nghiệm.