行動應用程式安全性評估

總覽

加強行動裝置安全是為 Google Play 數十億使用者維護應用程式安全的關鍵。OWASP (Open Web 應用程式安全性專案) 奠定了高度尊重的行動應用程式安全性產業標準。該公司發布了一系列安全性要求,行動應用程式安全性驗證標準 (MASVS) 為開發人員提供一組基本安全性標準。除了發布的 MASTG 測試標準外,OWASP 也提供了客觀做法,可讓開發人員根據一般標準評估應用程式。開發人員可以直接與 Google 授權研究室合作夥伴 協力進行安全性評估。透過 MASA,Google 會識別已根據一組 MASVS 第 1 級規定完成獨立驗證應用程式的開發人員。

CASA 架構
圖 1:MASA 架構

優點

定期進行安全性測試,可協助開發人員找出應用程式中的重大安全漏洞。Google Play 可讓已完成獨立驗證的開發人員在「資料安全性」專區中展示這項資訊。這可讓使用者對於應用程式對安全性和隱私權的承諾更有信心。

運作方式

如果您是開發人員,且有興趣參與測試,請直接與下方列出的任一授權研究室聯絡,開始進行測試程序。所有費用或必要文件都會直接由研究室和開發人員處理。研究室會測試 Play 商店上架的應用程式公開版本,並直接向開發人員提供評估意見回饋。研究室提供修復步驟,協助開發人員修正所有標記的問題。應用程式符合所有規定後,研究室就會直接將驗證報告傳送給 Google 確認結果,而開發人員就能在資料安全性表單中聲明安全性徽章。從初步評估到取得徽章,平均需要約 2 至 3 週的時間才能完成這項程序。

免責事項

MASA 的用意是讓使用者更清楚瞭解應用程式的安全性架構,但測試性質有限,並不能保證應用程式的完整安全性。獨立審查作業不在規定範圍內,不能用來驗證開發人員資料安全性聲明的正確性和完整性。開發人員仍須自行負責在應用程式的 Play 商店資訊中提供完整且準確的聲明。

常見問題

如要進一步瞭解 MASA,以及查看常見問題解答,請按這裡

我們的合作夥伴

Google 已加入一組授權研究室來進行應用程式評估。 所有授權研究室都提供全方位的安全性測試,讓開發人員能根據已發布的標準進行驗證。因為遷移至 Linux Foundation 的緣故,我們暫停了新手入門新研究室。

授權研究室合作夥伴

與研究室合作夥伴聯絡,開始進行 MASA 評估。