Есть ли простой или автоматический способ узнать, вызовет ли моя надстройка Google Workspace оценку безопасности?
Я планирую создать и опубликовать надстройку Google Sheets для широкой публики на торговой площадке Google Workspace. Насколько мне известно, для определенных типов надстроек, которые используют ограниченные области действия, Google требует, чтобы надстройки проводились сторонней оценкой / аудитом безопасности. Процесс аудита стоит от 15 до 75 тысяч долларов и несколько недель. Я не планирую платить такую огромную плату, особенно если надстройка бесплатна.
Мне недостаточно ясна документация и обстоятельства того, потребует ли надстройка оценка безопасности. Например, получение списка черновиков Gmail, когда пользователь надстройки нажимает кнопку, чтобы получить их список.
Прежде чем я потрачу время на создание готовой надстройки, есть ли способ отправить быстрое и грязное надстройку с вызовами API, которые я планирую использовать, в Google, чтобы посмотреть, будет ли надстройка требовать защиты. аудит? Моя цель - не внедрять функцию, если она требует аудита безопасности.
1 ответ
Отвечать:
Если ваша надстройка использует любую из следующих областей, она потребует оценки безопасности:
Gmail API
- https://mail.google.com/ (включая любое использование протоколов IMAP, SMTP и POP3)
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Google Fit API
- https://www.googleapis.com/auth/fitness.activity.read
- https://www.googleapis.com/auth/fitness.blood_gluosis.read
- https://www.googleapis.com/auth/fitness.blood_pressure.read
- https://www.googleapis.com/auth/fitness.body.read
- https://www.googleapis.com/auth/fitness.body_tempera.read
- https://www.googleapis.com/auth/fitness.heart_rate.read
- https://www.googleapis.com/auth/fitness.location.read
- https://www.googleapis.com/auth/fitness.nutrition.read
- https://www.googleapis.com/auth/fitness.oxygen_saturation.read
- https://www.googleapis.com/auth/fitness.reproductive_health.read
- https://www.googleapis.com/auth/fitness.sleep.read
Drive API
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
Дополнительную информацию о процессе проверки API OAuth можно найти здесь , включая приведенный выше список ограниченных областей, требующих проверки.
Надеюсь, это будет вам полезно!