הערכת אבטחה של אפליקציה לנייד

סקירה כללית

השקעה באבטחה לנייד היא קריטית כדי להבטיח את בטיחות האפליקציות למיליארדי המשתמשים ב-Google Play. OWASP (Open Web Application Security Project) ביסס את עצמו כתקן מכובד בתחום האבטחה של אפליקציות לנייד. קבוצת דרישות האבטחה שהתפרסמה, Mobile Application Security Verification Standard (MASVS) מספקת למפתחים קבוצה של קריטריוני אבטחה בסיסיים. בנוסף לקריטריוני הבדיקה שפורסמו, MASTG (המדריך לבדיקות של אבטחת אפליקציות לנייד), OWASP מציע למפתחים מטרה לאפשר למפתחים לבדוק את האפליקציות שלהם לפי תקן מקובל. המפתחים יכולים לעבוד ישירות עם שותף Authorized Lab של Google כדי להתחיל את בדיקת האבטחה. באמצעות MASA, Google תזהה מפתחים שהאפליקציות שלהם אומתו באופן עצמאי לפי קבוצה של דרישות MASVS ברמה 1.

מסגרת CASA
איור 1: מסגרת MASA

יתרונות

בדיקות אבטחה שוטפות יכולות לעזור למפתחים לזהות נקודות חולשה עיקריות באפליקציות שלהם. מפתחים שעברו אימות עצמאי יכולים להציג ב-Google Play את המידע הזה בקטע אבטחת הנתונים. כך המשתמשים יכולים להרגיש יותר ביטחון לגבי המחויבות של האפליקציה לאבטחה ולפרטיות.

איך זה עובד

אם את/ה מפתח/ת וברצונך להשתתף, עליך לפנות ישירות לאחת מהפלטפורמות המורשות של Labs שמפורטים למטה כדי להתחיל את תהליך הבדיקה. כל התשלומים והמסמכים הנדרשים יטופלו ישירות בין שיעור ה-Lab לבין המפתח. במסגרת שיעור ה-Lab, המערכת תבדוק את הגרסה הציבורית של האפליקציה שזמינה בחנות Play ותספק משוב ישירות למפתחים. ב-Labs יש שלבי תיקון שעוזרים למפתחים לפתור בעיות שסומנו. ברגע שהאפליקציה תעמוד בכל הדרישות, המעבדה תשלח דוח אימות ישירות ל-Google בתור אישור, והמפתחים יוכלו להצהיר על תג האבטחה בטופס אבטחת הנתונים שלהם. התהליך נמשך בממוצע שבועיים-שלושה ממועד הבדיקה הראשונית ועד לזמינות התג.

כתב ויתור

המטרה של MASA היא לספק יותר שקיפות בארכיטקטורת האבטחה של האפליקציה, אבל אופי הבדיקה המוגבל לא מבטיח שהאפליקציה בטוחה באופן מלא. הבדיקה העצמאית הזו לא יכולה לשמש לאימות הדיוק והשלמות של הצהרות אבטחת הנתונים של המפתח. המפתחים נושאים באחריות הבלעדית להצהרות מלאות ומדויקות בדף האפליקציה בחנות Play של האפליקציה.

שאלות נפוצות

כאן תוכלו לקרוא מידע נוסף על MASA ולקבל תשובות לשאלות נפוצות.

השותפים שלנו

Google צירפה קבוצה של Authorized Labs כדי לבצע את בדיקות האפליקציה. כל Authorized Labs מספקים בדיקות אבטחה מקיפות ומציעים למפתחים אמצעים לקבלת אימות בהתאם לתקנים שפורסמו. בעקבות המעבר ל-Linux Foundation, השהינו את ההצטרפות של שיעורי Lab חדשים.

שותפי Labs מורשים

כדי להתחיל את בדיקת ה-MASA, צריך לפנות לשותפי ה-Lab כדי להתחיל את הבדיקה.