我计划在 Google Workspace 市场中创建并向公众发布 Google 表格插件。据我所知,对于某些使用受限范围的附加组件,Google 要求对附加组件进行第三方安全评估/审核。处理审计的成本在 15,000 美元至 75,000 美元和数周之间。我不打算支付这笔巨额费用,特别是如果附加组件是免费的。
附加组件是否需要安全评估的文档和情况对我来说还不够清楚。例如,当插件用户单击按钮以获取它们的列表时获取 Gmail 草稿列表。
在我花时间创建一个完整的插件之前,有没有办法向谷歌提交一个快速而肮脏的插件,以及我计划使用的 API 调用,看看这个插件是否需要安全性审计?如果需要安全审计,我的目标不是实现某个功能。
如果您的附加组件使用以下任何范围,则需要进行安全评估:
Gmail API
- https://mail.google.com/(包括 IMAP、SMTP 和 POP3 协议的任何使用)
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
谷歌健身 API
- https://www.googleapis.com/auth/fitness.activity.read
- https://www.googleapis.com/auth/fitness.blood_glucose.read
- https://www.googleapis.com/auth/fitness.blood_pressure.read
- https://www.googleapis.com/auth/fitness.body.read
- https://www.googleapis.com/auth/fitness.body_temperature.read
- https://www.googleapis.com/auth/fitness.heart_rate.read
- https://www.googleapis.com/auth/fitness.location.read
- https://www.googleapis.com/auth/fitness.nutrition.read
- https://www.googleapis.com/auth/fitness.oxygen_saturation.read
- https://www.googleapis.com/auth/fitness.reproductive_health.read
- https://www.googleapis.com/auth/fitness.sleep.read
驱动 API
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
有关 OAuth API 验证过程的更多信息,请参见此处,包括上述需要验证的受限范围列表。