【问题标题】:Is there a simple or automated way to know if my Google Workspace add-on would trigger a security assessment?是否有一种简单或自动化的方法可以知道我的 Google Workspace 插件是否会触发安全评估?
【发布时间】:2021-06-03 06:23:59
【问题描述】:

我计划在 Google Workspace 市场中创建并向公众发布 Google 表格插件。据我所知,对于使用受限范围的某些类型的插件,Google 要求对插件进行第三方安全评估/审核。处理审计的成本在 15,000 美元至 75,000 美元和数周之间。我不打算支付这么高的费用,特别是如果插件是免费的。

插件是否需要安全评估的文档和情况对我来说还不够清楚。例如,当插件用户单击按钮以获取它们的列表时获取 Gmail 草稿列表。

在我花时间创建完成的插件之前,有没有办法向 Google 提交一个快速而肮脏的插件,以及我计划使用的 API 调用,以查看插件是否会需要安全审计?我的目标不是实现需要安全审计的功能。

【问题讨论】:

    标签: google-apps-script google-workspace google-workspace-add-ons


    【解决方案1】:

    答案:

    如果您的插件使用以下任何范围,则需要进行安全评估:

    Gmail API

    Google 健身 API

    驱动 API

    有关 OAuth API 验证过程的更多信息,请参阅here,包括上面需要验证的受限范围列表。

    【讨论】:

    • 是的,我知道这一切。我特别询问是否有一种“简单”或“自动化”的方法可以在几秒钟/几分钟内确定该插件是否需要在 Google 没有人手动并正式完成确定过程的情况下进行安全评估。我不希望插件实际发布。我看到一堆免费的“简单”附加组件/Chrome 扩展(没有付费功能),这些扩展似乎是由独立开发者开发的,我几乎不相信他们至少支付了 15,000 美元才能发布,我很确定他们使用过受限范围的 API。
    • 如果您没有发布您的附加组件(即将其保留在您的域内部),那么您不需要经过验证。
    • 如果发布,则当且仅当您使用上述任何范围时,加载项才会需要安全评估。这就是您所要担心的——如果您使用其中一个范围,安全评估将在 100% 的时间内进行,如果您不使用其中任何一个,则不会在 100% 的时间内进行。只要您知道自己的范围,那么您只需要知道是否需要进行安全评估。
    • 至于评估的价格 - 在您完成发布过程之前您不会知道这一点。
    猜你喜欢
    • 2020-11-05
    • 2016-01-19
    • 2018-07-13
    • 2021-01-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-06-29
    相关资源
    最近更新 更多