你是否遇到过这样的情况?
应用只是接入了Google登录和Drive备份,
却突然被通知需要进行CASA评估,
原本的上线计划,也一夜之间变成“红色警报”?
更糟的是——
用户在授权时开始看到“此应用未经Google验证”
甚至直接被系统拦截,质疑应用是否安全:
👉 这个软件靠谱吗?
👉 我的数据会不会被泄露?
当信任被打断,增长也随之停滞。
CASA是什么?
CASA(Cloud Application Security Assessment,云应用安全评估)是一套由App Defense Alliance (ADA)移动应用防御联盟管理,基于全球认可的OWASP ASVS(应用安全验证标准)构建的强制性安全审查体系。若应用未按期通过CASA评估,Google将对该API实施限制:强制应用进入100个测试用户的硬性额度上限,并在用户授权阶段触发“此应用未经Google验证”的红色安全警告,直接阻断业务增长。
评估触发机制的核心在于Restricted Scopes
CASA的触发判定并非基于产品形态,而是基于应用请求的API权限范围。若应用调用了Gmail、Drive、Google Fit等涉及核心隐私数据的受限范围Restricted Scopes,则强制触发CASA评估,基于此机制,以下四类业务场景为高频触发对象:
应用开发者:App使用Google API、Cloud或Identity等能力进行核心数据交互。
IoT/智能家居厂商:设备需接入Google Home或Google Play服务生态。
云端服务提供方:OEM自建云需要与Google生态进行双向的数据交互。
智能终端OEM:智能手机/平板集成Google Mobile Services (GMS)时涉及的底层敏感权限调用。
DEKRA德凯CASA评估定级与周期预估
Google根据风险等级与API敏感度将评估划分为T1、T2、T3三个级别。涉及Restricted Scopes的应用主要面临T2或T3级别审查:
CASA Tier 2(主流级别): 多数企业最常面对的级别。要求提交技术证据并完成自动化/半自动化代码扫描与漏洞整改。Google通常提供约90天的窗口期。注意:此周期需涵盖机构排期、代码扫描、漏洞修复及复测全流程,前期预留的整改时间极为关键。
CASA Tier 3(高风险级别):面向高风险、高敏感度应用,审查深度最为全面。需执行人工深度渗透测试,对实验室档期及架构级漏洞修复能力要求极高。
作为Google官方授权的CASA安全评估机构 ,DEKRA德凯为您提供标准化的评估流程:
无需反复沟通,通过填写标准化问卷表单收集相关信息明确测试范围并快速立项。
立项后,DEKRA德凯的网络安全工程师根据表单评估结果,立即开展针对性的静态/动态代码扫描与深度安全测试。
测试完成后出具详细的安全报告,附带实操性的漏洞整改指导,支持企业高效、彻底地修复代码缺陷。
确认漏洞修复完毕后更新扫描结果,签发Google官方认可的最终合规报告 (LOV)。
DEKRA德凯CASA评估优势
Google官方认可的CASA安全评估机构
可独立完成评估、整改验证并签发合规报告
评估结果可直接用于全球市场准入
本地化高效交付
全流程可在中国本地完成,无需跨境沟通
本地工程师直接对接,沟通高效、进度透明
避免时差影响,项目周期更可控
精准理解与风险前置
深度掌握Google CASA评估要求
熟悉中国厂商常见架构与应用场景
提前识别关键风险,减少返工
成熟经验与高通过率
服务多家出海企业,具备丰富交付经验
准确把握审核重点,提供可落地整改建议
有效提升一次性通过成功率
作为Google授权的CASA评估机构,DEKRA德凯将凭借本地化服务能力与全球技术经验,持续为企业提供专业、透明、高效的安全评估支持,助力更多产品稳健进入Google生态。
关于DEKRA德凯
DEKRA德凯,百年安全保障的全球领导者。成立于1925年,DEKRA德凯旨在通过车辆检验确保道路安全。如今,DEKRA德凯已发展成为全球最大的独立非上市检验、检测和认证专家机构,覆盖广泛的行业领域。作为值得信赖的全球合作伙伴,DEKRA德凯凭借全面的服务和创新的解决方案,助力客户提升安全和可持续发展,践行百年庆典主题——“Securing the Future”。2024年,DEKRA德凯营业总额达到43亿欧元,业务遍布世界5大洲60多个国家和地区,逾48,000名员工致力于提供独立、专业的专家服务。DEKRA德凯连续荣获EcoVadis铂金评级,位列前1%的可持续发展公司之列。
点击“阅读原文”,立即与我们联系!