¿Cuál es la mejor manera para que una empresa administre los certificados de firma de código? El valor predeterminado parece ser que las claves de Apple y Android se almacenan por cada desarrollador en sus máquinas.
Veo sistemas como Amazon Key Management Service y Microsoft Key Vault que parecen ser ideales para esto, pero no creo que en realidad sea posible usarlos para aplicaciones iOS y Android. Para mí, parece que la forma ideal de manejar esto, sería que el código se envíe a un servidor de claves centralizado, que firma el código para el desarrollador, sin revelar nunca la clave privada al desarrollador. Cambie a los desarrolladores y simplemente revoque su acceso al servidor de administración de claves. Entonces también tienes una estrategia para manejar todas tus diversas claves. También parece más fácil de integrar con la entrega continua.
¿Existe alguna estrategia que utilicen las organizaciones para administrar sus claves privadas para firmar códigos tanto en aplicaciones ios como android?