java - субд - Есть ли причина, по которой я не должен хранить хранилище ключей в контроле версий?




субд для big data (2)

Для обновления вашего приложения вам понадобятся две вещи:

  • Доступ к консоли разработчика Google Play, которой принадлежит приложение.
  • APK подписал с правильным хранилищем ключей

Поместив сертификат в свой репозиторий и обменяв его с вашими разработчиками, вы откажетесь от одного токена безопасности.

Если ваша учетная запись Google Play Dev Console защищена, вы должны быть в порядке. Но это зависит от вашего szenario.

Поместить его в репозиторий намного проще:

  • Ваш репозиторий клонируется во многих местах и ​​обычно подкрепляется должным образом.
  • Ваша команда разработчиков может использовать gradle для автоматической подписки на выпуск продукта.

Многие люди предпочитают класть его на одну или несколько SD-карт и помещать их куда-нибудь. Но у большинства людей нет места под названием «где-то» в их офисе. Может ли это прочитать еще через несколько лет?

Еще два соображения:

  1. Если владелец продукта приложения Android изменится в вашей компании, вы никогда не знаете, есть ли у старого владельца еще копия, и никто не знает, кто к ней уже имеет доступ. Вы не можете изменить ключ. Поэтому, если ключ когда-то передается от одного человека к другому, его следует считать небезопасным.

  2. Конечно, вы можете сохранить его полностью приватным. Он защищен вашим паролем, который никто не знает. Но что произойдет, если вы умрете? Кто-то может захотеть обновить ваше приложение. Это невозможно. Закрытый секретный ключ теряется, когда вы умираете.

Поэтому я думаю, что положить его в свой репозиторий в порядке. Позаботьтесь о безопасности своего аккаунта Google. Для этой учетной записи пароль можно изменить, активировать двухфактор и так далее.

Я использую хранилище ключей (.jks) для хранения сертификата, который я использую, чтобы подписать мои приложения для Android. Документация и сообщество Android впечатлили меня тем, что никогда не теряйте этот файл, но я не нашел никаких указаний относительно того, где я должен его хранить.

Будет ли его хранение в Git ужасной идеей (т. Е. Будет ли это иметь последствия для безопасности)?

Предположим, что у самого хранилища ключей и частных ключей внутри них есть сильные пароли.

Любой, у кого есть доступ для чтения к вашему Git repo, получит закрытый ключ. Это считается проблемой безопасности, и по этой причине это не рекомендуется. Если ваш репозиторий GIT полностью лишен смысла, но у вас есть к нему доступ (NOT Private repo, то есть GitHub, а скорее git repo на локальном диске или в инфраструктуре, которую вы контролируете на 100%), тогда для ввода вашего закрытого ключа есть так как держите его на локальном диске.

Предположим, что у самого хранилища ключей и закрытых ключей внутри них есть сильные пароли на них

Обратите внимание, что пароль - это ваш последний способ защиты в случае вашего («открытого») закрытого ключа. Если он будет каким-либо образом скомпрометирован (угадан, украден, взломан), тогда все будет кончено.

Кроме того, я более чем уверен, что не всем (если есть) разработчикам нужен доступ к ключам выпуска . Если вам нужно, чтобы это было, отдайте его на репо. Но я сначала переосмыслил политику безопасности.




субд   рейтинг   причины   появления   почему   никогда   использовать   должны   для   данных   баз   habrahabr   data   big   java   android   security   keystore   android-keystore  


android-keystore