При отправке сборки в любой канал выпуска автоматически запускается проверка на наличие уязвимостей в системе безопасности пакета приложений. В ходе этой проверки проверяются такие проблемы безопасности, как использование известных уязвимых SDK или библиотек, известных средств эксплуатации уязвимости в экосистеме Android, а также использование небезопасных функций. После завершения проверки вы получаете подробный отчет, в котором описываются обнаруженные уязвимости и предоставлены рекомендации по их устранению.

На следующем изображении показан пример раздела Результаты тестирования для обзора уязвимостей в системе безопасности:

Security Vulnerability Review Test Results

Если тест не пройден, возможны два исхода:

Красный значок указывает на проблему, которую необходимо устранить перед отправкой приложения на проверку или распространения в любом канале выпуска.

Желтое предупреждение указывает на потенциальную проблему, которую необходимо устранить, но она не блокирует выпуск.

Чтобы получить дополнительную информацию о каждом предупреждении или ошибке, выберите Нажмите, чтобы узнать больше. В разделе Расположение уязвимого кода в вашей сборке указаны места, где в вашем коде обнаружены уязвимости. Для поиска и устранения проблем можно обратится к разделам Расположение уязвимого кода в вашей сборке, Описание и Рекомендации. На следующем изображении показан пример этих трех разделов.

Security Vulnerability Review Test Result Documentation

Все двоичные файлы, содержащие уязвимости, классифицированные как критические, должны быть исправлены и повторно загружены перед отправкой на проверку приложения или распространением через каналы выпуска.

Meta считает уязвимость приложения критической, если она представляет существенный риск для экосистем Meta Quest или Link PC-VR (Rift), в том числе данных пользователей, взаимодействия с пользователями, целостности приложения или сервисов платформы Meta.

Одной критической уязвимости может быть недостаточно для взлома системы, но злоумышленник может объединить ее с другими уязвимостями в одном или разных приложениях, чтобы создать цепочку уязвимостей, которая в итоге приведет к взлому системы. Поскольку невозможно предсказать появление новых уязвимостей, мы требуем устранения критических уязвимостей для защиты вашего приложения и пользователей.

Обжалование результатов проверки на наличие уязвимостей в системе безопасности

Если вы считаете, что результат неправильный, можно подать апелляцию на результаты проверки для бинарных файлов с критическими уязвимостями. Форму апелляции можно отправить через Центр поддержки разработчиков⁠. Для этого нажмите "Связаться с нами" и в выпадающем меню "Ваш вопрос" выберите "Апелляция на результаты тестирования на уязвимости в системе безопасности". Чтобы получить доступ к форме, войдите в систему. Процесс рассмотрения апелляции может занять до 30 дней.

После устранения всех обнаруженных критических уязвимостей можно загрузить новую сборку. Проверка на уязвимости в системе безопасности автоматически запустится для нового загруженного пакета.