我们正在 IntelliJ IDEA 中开发一个新的 android 应用程序,并使用工件来简化包签名过程。发布密钥库位于本地。我们正在使用公共 VCS,我们担心在其上存储keyPassword和keyStorePassword。
我们找不到有关用于加密这些值的算法的任何信息。因此,我们认为将它们存储在公共服务器上可能存在一些漏洞。
有没有人知道更多细节并给我们建议?
谢谢
问问题
914 次
1 回答
0
我们不建议将带有密钥库密码的 Android 工件存储在公共 VCS 服务器上,我在知识库文章中对此进行了概述。
加密仅用于隐藏密码,但可以轻松解密(加密/解密代码是公开的)。这是有意完成的,因此您的 CI 服务器可以构建这些工件(TeamCity 应该支持它)。
只有当您不担心您的密钥库密码会公开时,您才可以选择共享这些工件。如果您确定密钥库本身是 100% 安全的并且不会对公众开放,那么提供其密码将不会令人心碎,但这显然会增加有一天您的密钥库与密码一起泄露并危及 Play 应用程序的机会店铺。
于 2013-03-19T16:18:44.513 回答