:

Szerző: Dömös Zsuzsanna

2022. július 18. 10:20

A fejlesztőkre tolja a felelősséget a Play Store új adatbiztonsági szekciója

Július 20-ig minden fejlesztőnek nyilatkoznia kell egy űrlapon a Google Play Store-ban közzétett alkalmazása adatgyűjtési gyakorlatairól, hogy az információk megjelenhessenek az új, Adatbiztonság (Data Safety) nevű szekció alatt. A funkció kritikusai szerint kérdés, hogy a közzétett tájékoztatások hitelességét hogyan ellenőrzi majd a Google, mivel azok önbevallásos alapon fognak megjelenni.

Tavaly májusban a Google bejelentette, hogy adatbiztonsági információkat mutató új szekciót vezet be a Play áruházban közzétett appok adatlapján. Az új, Adatbiztonság nevű szekció idén áprilisban kezdett el megjelenni az áruházi adatlapokon, július 20-tól pedig kötelezővé válik a használata, addig minden fejlesztőnek nyilatkoznia kell egy dedikált űrlapon, hogy miként gyűjti és kezeli a felhasználói adatokat, legyen az belső, zárt, nyílt vagy éles tesztelési csatornán lévő alkalmazás. A Google nem tervezi meghosszabbítani a határidőt, utána pedig szankcionál.

A fejlesztőknek arról is tájékoztatást kell adniuk, hogyan védik ezeket az adatokat különféle biztonsági gyakorlatok – például titkosítás – révén. Idetartoznak az alkalmazásaikban használt, harmadik féltől származó függvénytárakon vagy SDK-kon keresztül gyűjtött és kezelt adatok is. Ahogy a Google kiemeli: kizárólag a fejlesztőt terheli annak felelőssége, hogy az adatlapon megjelenp nyilatkozatok hiánytalanok és pontosak legyenek.

Az új szekció teljesen átveszi az eddig használt, alkalmazásengedélyezésekkel kapcsolatos áttekintések helyét. A fő különbség, hogy míg a korábbi megoldásban az engedélyek listáját a Google automatikusan hozta létre az alapján, hogy az app mihez kért hozzáférést a rendszertől, így kevesebb eséllyel maradt ki olyan dolog, amit a fejlesztők esetleg önbevallásos alapon elhanyagoltak volna, az Adatbiztonság viszont teljes mértékben a fejlesztő által benyújtott adatokra támaszkodik.

google_data_safety

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A TikTok app adatlapján megjelenő Adatbiztonság szakasz alatt például listázva már látható, hogy az alkalmazás a fejlesztők által megadott információk szerint nem oszt meg adatokat harmadik féllel, az adatokat titkosítja a továbbítás során, és a felhasználó kérheti az adatok törlését. Továbbá a fejlesztő bevallása alapján olyan jellegű adattípusokat gyűjt, mint a hely, személyes adatok, pénzügyi adatok, alkalmazáson belül küldött üzenetek, fotók és videók, audio,címtár, appon belüli tevékenységek, alkalmazásadatok és teljesítmény (pl. összeomlásnaplók), illetve eszköz- vagy egyéb azonosítók. Hogy a ByteDance tájékoztatásával kapcsolatban ki mennyire szkeptikus, innentől kezdve saját döntés.

Az újítás kritikusai szerint ez felveti a kérdést, hogy a felhasználó megbízhat-e abban, hogy az appfejlesztő valóban minden adatgyűjtést bevall-e, ami annak fényében is jogos aggodalom lehet, hogy az áruház rendszere sem garantálja a kártékony appok kiszűrését, azok időről időre felkerülnek a kínálatba. A Google hozzáteszi: amennyiben megállapítja, hogy egy fejlesztő megtévesztő adatokat adott meg, és megsértette az irányelvet, felszólítást kap a hiba javítására, következő lépcsőként pedig letilthat frissítéseket, vagy akár el is távolíthatja az alkalmazást.

Az Adatbiztonság szekció a Google válasza lehet az Apple alkalmazásboltjában használt, iOS 14-gyel bejelentett App Privacy fülre, ami alatt a szoftverrel kapcsolatos adatvédelmi tudnivalók jelennek meg, ide tartozik, hogy az app milyen információkat gyűjt, milyen adatokat használ a felhasználó követésére, illetve melyeket rendeli hozzá a felhasználó profiljaihoz, szintén a fejlesztők által bevallt tájékoztatások alapján.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról