Рекомендации по уходу в отставку

Question

У нас есть внешний поставщик, который разрабатывает приложение для Android для нашей организации.Мы хотим, чтобы apk был подписан нашей организационной подписью, а не подписью поставщика, при выпуске приложения для магазина воспроизведения.Каковы лучшие рекомендации по повторному подписанию Android APK?

Answer 1

Я бы порекомендовал создать и подписать его самостоятельно из ветки релиза или с помощью хеша коммита кода (что проверено командой QA внешнего поставщика). Благодаря поддержке gradle в проектах Android очень просто настроить небольшой блок скриптов, который будет подписывать apk правильными ключами. Например, в наших проектах мы создали файл свойств, подобный этому

ANDROID_KEYSTORE_LOCATION=~/.android/debug.keystore
ANDROID_KEYSTORE_PASSWORD=android
ANDROID_KEYSTORE_ALIAS=androiddebugkey
ANDROID_KEYSTORE_ALIAS_PASSWORD=android

Вы можете поменять значения в вышеприведенных строках на свои ключи разблокировки при сборке самостоятельно, без каких-либо изменений в скрипте gradle. Конечно, поставщик должен внести изменения в скрипт сборки gradle, чтобы прочитать этот файл.

Answer 2

Повторная подпись APK удалит предыдущую подпись, поэтому она будет работать так, как вы ожидаете.

Рекомендуется использовать apksigner (выпущен как часть Android SDK), который предлагает более безопасные алгоритмы подписи для подписи APK. Альтернатива - jarsigner, но устройства Android проверяют подпись медленнее (поэтому установка занимает больше времени) и не так безопасны.