Administración de claves centralizada para IOS y firma de código de Android

Question

Administración de claves centralizada para IOS y firma de código de Android

#1 de bbaassssiiee (1 votos)
#2 de AndyMac (1 votos)

11

¿Cuál es la mejor manera para que una empresa administre los certificados de firma de código? El valor predeterminado parece ser que las claves de Apple y Android se almacenan por cada desarrollador en sus máquinas.

Veo sistemas como Amazon Key Management Service y Microsoft Key Vault que parecen ser ideales para esto, pero no creo que en realidad sea posible usarlos para aplicaciones iOS y Android. Para mí, parece que la forma ideal de manejar esto, sería que el código se envíe a un servidor de claves centralizado, que firma el código para el desarrollador, sin revelar nunca la clave privada al desarrollador. Cambie a los desarrolladores y simplemente revoque su acceso al servidor de administración de claves. Entonces también tienes una estrategia para manejar todas tus diversas claves. También parece más fácil de integrar con la entrega continua.

¿Existe alguna estrategia que utilicen las organizaciones para administrar sus claves privadas para firmar códigos tanto en aplicaciones ios como android?

public-key-infrastructure key-management code-signing

pregunta user1724280 30.11.2015 - 20:43

fuente

2 respuestas

Lea otras preguntas en las etiquetas public-key-infrastructure key-management code-signing

Usando cat para superar 'Aplastamiento de pila detectado' Cómo protegerse contra la explotación utilizando un dominio vencido

score 1 · Answer 1

Para iOS y OSX hay certificados de "desarrollador", necesarios para aprovisionarse en hasta 100 dispositivos; y certificados de 'distribución', necesarios para cargar en las tiendas de aplicaciones. El primero es personal y está sujeto a una licencia de desarrollador. Este último podría ser reservado para tu Mac corporativa. El 'agente del equipo' puede usarlo y subirlo, y delegar derechos. La distribución es la que hay que ver.

score 1 · Answer 2

Puede utilizar una herramienta de firma de aplicaciones que se almacena de forma segura y que toma tarjetas inteligentes que contienen las claves de firma. La herramienta de firma de aplicaciones (hardware conectado por USB que toma la tarjeta inteligente) se puede almacenar por separado en la tarjeta inteligente. Los desarrolladores y evaluadores pueden probar la aplicación usando las teclas dev / test pero, una vez que la aplicación está lista para el lanzamiento, alguien puede realizar la firma final bajo control dual, debido al acceso separado a las herramientas anteriores, y esto puede ser lanzado a Operaciones para el despliegue a producción.