我有一个专门用 C++ Builder 编写的 Win32/Win64 应用程序,尽管我认为这并不重要,它可以访问 Gmail 和 Google 联系人范围。它之前已经获得批准访问,但不幸的是,现在 Google 要求每年进行 CASA Tier 2 评估。他们推荐的评估员是电子邮件中链接的 TAC Security。我认为他们与他们达成协议。
有人经历过上述类型申请的评估流程吗?请问可以分享一下流程和需要多长时间吗?是否需要公开应用程序的源代码?
如果这个过程可以免费完成,您可以分享详细信息吗?有关这方面的文档非常稀缺或不存在,据我所知,很少有人经历过这个过程。
Google 推荐的评估机构是 TAC Security,但其费用为 540 美元或 720 美元,具体取决于您是否需要更多支持。您不需要使用该提供商,因为有诸如 PwC(他们也有付费服务)和 fluid Attacks 之类的免费服务。 您可以查看不同提供商的此文档 -
对于普华永道,您可以遵循此Medium文档 -
如何配置 Google Workspace 插件进行第 2 层 CASA 安全评估 – 分步指南。请注意,您只能尝试两次扫描代码,这通常是不够的。
对于流体攻击,根据我在网上看到的讨论,他们使用这个提供商取得了更好的成功。您可以使用本文档了解如何验证您的应用程序 - 验证 CASA 第 2 层要求。
此外,您可能会发现这些讨论很有帮助: