我计划创建一个Google Sheets插件,并在Google Workspace市场上向公众发布。据我所知,对于使用受限范围的某些类型的加载项,谷歌要求对这些加载项进行第三方安全评估/审计。处理审计的费用在1.5万至7.5万美元之间,需要几周时间。我不打算支付这么高的费用,尤其是如果附加组件是免费的。
文件和附加组件是否需要安全评估的情况对我来说还不够清楚。例如,当附加组件用户点击按钮获取Gmail草稿列表时,获取一份草稿列表。
在我花时间创建一个完成的加载项之前,有没有一种方法可以将一个快速而肮脏的加载项提交给Google,并使用我计划使用的API调用,只是为了看看该加载项是否需要安全审计?如果某个功能需要安全审计,我的目标是不实现它。
答案:
如果您的插件使用以下任何作用域,则需要进行安全评估:
Gmail API
- https://mail.google.com/(包括IMAP、SMTP和POP3协议的任何用法(
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Google Fit API
- https://www.googleapis.com/auth/fitness.activity.read
- https://www.googleapis.com/auth/fitness.blood_glucose.read
- https://www.googleapis.com/auth/fitness.blood_pressure.read
- https://www.googleapis.com/auth/fitness.body.read
- https://www.googleapis.com/auth/fitness.body_temperature.read
- https://www.googleapis.com/auth/fitness.heart_rate.read
- https://www.googleapis.com/auth/fitness.location.read
- https://www.googleapis.com/auth/fitness.nutrition.read
- https://www.googleapis.com/auth/fitness.oxygen_saturation.read
- https://www.googleapis.com/auth/fitness.reproductive_health.read
- https://www.googleapis.com/auth/fitness.sleep.read
驱动API
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
可以在此处找到有关OAuth API验证过程的更多信息,包括上面需要验证的受限作用域列表。