Как убедиться, что пароли для подписи приложений недоступны, если кто-то декомпилирует apk?

Question

В настоящее время я подписываю приложение следующим образом, где ключи считываются из env в CI.

signingConfigs {
  release {
      storeFile file(System.getenv("ANDROID_KEYSTORE_PATH"))
      storePassword System.getenv("KEYSTORE_PASSWORD")
      keyAlias System.getenv("KEY_ALIAS")
      keyPassword System.getenv("KEY_PASSWORD")
  }
}

buildTypes {
    release {
        signingConfig signingConfigs.release
        manifestPlaceholders = [excludeSystemAlertWindowPermission: "true"]
    }
}

Но этот метод сделает пароли доступными, если кто-то декомпилирует apk.

Есть ли способ, с помощью которого ключи используются только во время подписи, а затем извлекаются из кода и затем загружаются в магазин Play?

Или если кто-то может указать мне на более безопасные способы подписи apk?

Answer 1

Эта информация не включается в файл apk, поэтому даже если кто-то декомпилирует ваш apk, он не увидит этого.

Вы также можете использовать android studio для создания подписанного apk.Проверьте эту ссылку, чтобы увидеть, как это делается