Роскачество отвечает на критику нового ГОСТа для мобильных приложений. Прямая речь
Что не так с комментариями экспертов о том, что не так со стандартом для мобильных приложений.
10 июля мы написали о том, что Росстандарт утвердил предварительный национальный стандарт для мобильных приложений. По словам замруководителя Роскачества Ильи Лоевского, раньше в России не было ГОСТов в области мобильных приложени, и разработчики ориентировались на гайдлайны корпораций, в частности Google и Аpple. Теперь такой ГОСТ есть.
Чтобы разобраться в вопросе, мы обсудили новые стандарты с коллегами из AGIMA, Globus mobile, Kokoc Group, mobile.SimbirSoft и других компаний, которые работают в мобильной разработке.
Сегодня в Cossa пришло письмо от пресс-службы Роскачества с комментариями к нашей вчерашней новости. Публикуем текст письма без изменений. Все выделения в тексте сделаны редактором исключительно для удобства чтения.
Прямая речь: комментарии Роскачества к комментариям экспертов
Роскачество проводит сравнительные веерные исследования качества товаров и услуг на соответствие опережающим стандартам качества и безопасности продукции. Более 50 таких стандартов уже получили статус предварительных национальных стандартов Российской Федерации.
Стандарты являются образцами, набором лучших практик производства товаров и услуг и призваны помогать производителям в выпуске качественной продукции, а никак не быть какого-либо рода ограничением. Также, как и в более чем 90 других исследованиях, Роскачество проводит тестирование мобильных приложений на соответствие стандартам и определяет наиболее качественные товары для потребителей. В случае мобильных приложений мы тестируем такие важные потребительские свойства, как удобство, безопасность, информативность, адаптация для людей с ограниченными возможностями и др.
В процессе разработки стандарта принимали активное участие ведущие отраслевые эксперты. В официальном пресс-релизе Роскачества сообщается о том, что в рабочую группу технического комитета по разработке стандарта вошли специалисты ведущих компаний-разработчиков приложений и другие эксперты. Там же есть и цитаты некоторых из них.
После этого разработанный стандарт обсуждался и дорабатывался согласно замечаниям и предложениям профильного национального технического комитета по стандартизации ТК 22 «Информационные технологии», объединяющего ведущих из экспертов ИТ-отрасли.
Согласно процедуре, отражённой в положении о стандартизации в Российской Федерации, стандарт прошёл стадию публичного обсуждения на сайте Росстандарта. Эксперты в сфере ИТ делились комментариями, которые анализировались и учитывались в течение года, после чего стандарт был утверждён. Год назад, когда стандарт был только разработан, новость об этом также комментировал представитель компании Сбербанк-Технологии.
Далее предлагаем ознакомиться с информацией, которая поможет развеять сомнения некоторых экспертов о необходимости стандарта.
О сборе персональных данных
Если приложение собирает, хранит или передаёт персональные данные, оно должно обеспечивать безопасность этих операций с использованием современных надёжных методов шифрования, обеспечивать передачу данных по защищённому каналу. Приложение должно информировать пользователя о сборе его персональных данных, а также предоставлять возможность отказа пользователя от сбора данных. Таким образом, стандарт никак не является преградой для сбора персональных данных, он снабжён набором рекомендаций по этому важному вопросу.
О наличии технических деталей
Стандарт создан для проведения потребительских исследований качества мобильных приложений, а не для проверки и анализа программного кода. В случае внедрения разработчиками требований стандарта, потребители получают наиболее качественный товар.
Роскачество не ограничивает разработчиков каким-либо образом, определяя точные технические характеристики и загоняя их в рамки. При этом важно, чтобы приложение соответствовало общим требованиям к качеству и безопасности продукта.
Зачем стандарт нужен компаниям
В документе собраны лучшие практики и рекомендации для создания качественного продукта, а не технические требования, без которых приложение не попадёт в магазины приложений. Стандарт универсален для всех приложений и понятен людям без специального технического образования. Менеджеры продуктов, а не CIO и технические разработчики, могут воспользоваться им и проверить, насколько разработанный продукт готов к выходу на рынок и насколько он качествен, безопасен и удобен в использовании.
Касательно комментария техдиректора AGIMA Андрея Рыжкина
Если бы требование об отсутствии уязвимостей регулировалось на этапе review в вендорских магазинах приложений, не было бы вредоносного ПО и фонариков, крадущих данные (речь о прошлогодней новости о трояне, который максировался под приложение-фонарик для Android — прим. редактора). Более того, приложения, которые передают контент и персональные данные в незашифрованном виде, благополучно пропускаются магазинами. Если следовать этому принципу, то нет необходимости и в проверке товаров в супермаркетах на соответствие срокам годности, так как в магазинах есть свой «контроль свежести».
К комментарию гендиректора Globus mobile Павла Короткого
Всё верно, при разработке нашего стандарта были использованы 16 ГОСТов, 5 стандартов ISO и 9 руководств и методик международных корпораций (в том числе Apple, Google и OWASP). Таким образом, стандарт содержит в себе наилучшие практики. Разумеется, для создания качественного продукта нужен больший бюджет, нежели для создания некачественного.
К цитате гендиректора MobiSharks (Kokoc Group) Игоря Зуева
Стандарт служит ориентиром не для самих технических разработчиков, а для менеджеров продуктов. Гайдлайны Google и Apple, прежде всего, предназначены для технических специалистов. Стандарт же написан понятным для всех языком и для менеджеров является своеобразным чек-листом. С его помощью менеджер сможет понять, насколько продукт готов для выхода на рынок, или что можно усовершенствовать в приложении для увеличения количества пользователей.
Отличным примером является отсутствие в гайдлайнах Google и Apple такого показателя удобства, как «информационная экологичность». Она заключается в том, что мобильное приложение должно позволять сортировать и фильтровать большие объёмы информации в приложении и при этом в первую очередь выводить именно желаемую и наиболее походящую конкретному пользователю информацию. Кроме того, гайдлайны есть, но тем не менее в магазины приложений попадают программы с уязвимостями или без адаптации для людей с ограниченным возможностями и др.
О мнении директора mobile.SimbirSoft Дмитрия Петерсона
Наличие критических уязвимостей является угрозой безопасности, и поэтому над этим необходимо работать. ПО всегда можно и необходимо усовершенствовать, исправляя недостатки. В особенности если это касается безопасности.
Правовой аспект
У потребителей нет права требовать от производителя или продавца соответствовать стандарту. Однако у пользователей есть право выбирать, каким приложением ему пользоваться с точки зрения удобства, качества и безопасности. Результаты наших исследований на соответствие стандарту служат связующим звеном между разработчиками и пользователями, помогая разработчику предложить высококачественный товар, а потребителям выбрать лучший и наиболее удобный продукт.
Роскачество открыто для взаимодействия по вопросам стандартизации и потребительских испытаний с профильными экспертами. Мы также приглашаем специалистов к обсуждению методик исследований отдельных категорий мобильных приложений, где учитываются более глубокие технические детали продукции в каждой конкретной категории.
О диджитале в удобном формате ➜ подписывайтесь на нашу рассылку