【问题标题】:Security considerations when using Google Play App Signing使用 Google Play 应用签名时的安全注意事项
【发布时间】:2017-06-03 15:45:10
【问题描述】:

我刚刚在 Play 控制台中注册了 App Signing,一切正常。

但是我现在应该如何处理我的新上传密钥库及其密码? 我可以将这个密钥库置于版本控制之下并以纯文本形式将密码放入构建脚本吗?

据我了解,此密钥库仅用于在上传之前临时签署我的 apk。所以我认为这是非常安全的,因为除了我自己之外没有人可以将新的 apk 上传到 Play,并且没有选择通过知道上传密钥来访问我原来的发布密钥库。

现在困扰我的另一件事是我看不到任何更改上传密钥库的选项。现在是否有可能,或者至少计划很快添加到 Play 控制台?如果我将上传密钥库和密码发布到版本控制,如果出现问题,可以选择切换到新的私有密钥库。

【问题讨论】:

    标签: android google-play android-keystore


    【解决方案1】:

    您处理密钥库的方式非常个人化,但专门使用密码将其发布到源代码管理中并不是一个好主意。

    您说的只有您可以将 apk 上传到您的帐户是对的,但是您的帐户可能会由于各种原因被入侵,因此最好有第二步为您的帐户上传任何 apk。

    当我加入一个团队时,由于我们有一个私有源代码控制,我们将密钥库与我们的代码库一起上传。但是密码是通过1password管理的。

    现在我独自工作,我自己处理我的密钥库。

    关于您更改密钥库的问题。这不可能。这是您上传 apk 后无法更改的两件事:包和密钥库。这样做是出于安全原因。

    您可以在这里获得更多信息:https://developer.android.com/training/articles/keystore.html

    【讨论】:

    • 我知道不可能更改甚至删除发布密钥库,这对我来说非常有意义。但是为什么我不能更改上传密钥库?
    • 其实谷歌在他们的 IO talk here987654322@ 中特别提到可以重置上传密钥库
    • 说到帐户泄露,当开始使用应用签名时,谷歌会要求您启用两步验证,理想情况下应该可以防止这种情况发生。泄露用于发布应用的帐户可能会导致其他可悲的后果,其中上传新 apk 的能力我想并不是最可怕的,所以无论如何你最好保证它的安全。
    【解决方案2】:

    正如@jonathanrz 所说,最好将您的密钥库文件保密。 使用gradle.properties 文件来存储您的密钥库密码非常容易,然后只需在您的build.gradle 文件中引用属性值。

    请记住用你的生命保护密钥库文件,在多个地方保存它们的备份,如果你丢失它们,你将不得不重新上传你的应用程序。

    【讨论】:

    • 在您的机器上以纯文本形式保存重要密码并不是我认为的最安全的选择。新的 App Signing 功能的一个好处是,您现在应该不用担心丢失密钥库或密码了。
    • 我认为这就是问题的重点。如果您可以将某些内容保存在本地并确保它是安全的、备份的等,那就足够了——最好不要将内容上传到云端。如果您确定不会忘记密码,最好不要写下来。但是——所有那些不幸的事情都发生了。如果他们这样做了 - 您可能会失去在 Google Play 中更新您自己的应用程序的能力。如果将这些信息提交给 git 会发生什么坏事?它被破坏的可能性有多大?
    【解决方案3】:

    我会回答我自己的问题(基于Reddit discussion)。

    要更改上传密钥库,您需要contact Google 支持并请求重置。这不是最简单的选择,但拥有一个仍然很好。

    看不到将上传证书及其密码保存在私有存储库中的大问题。只要无法自动推送生产版本,这听起来就足够安全,而且还简化了 Alpha / Beta 版本的分发。

    有些人有理由担心,通过与 Google 共享发布密钥库,它可能会被泄露或被 Google 用于将恶意代码集成到您的应用中。但发生这种情况的可能性非常小,只要您不在 Facebook 或其他非常受欢迎的应用程序上工作,依靠 Google 应该足够安全。

    【讨论】:

      猜你喜欢
      • 2010-09-24
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2014-08-19
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-03-11
      相关资源
      最近更新 更多