Нужно ли мне подписывать код нашей недавно созданной aab перед загрузкой в ​​Google Play, если Play Store будет обрабатывать подпись?

Question

до сих пор мы загружали пакет aab в Google Play и (хотя мы сейчас используем подпись приложений в Google Play), мы также подписывали код для пакета aab перед его загрузкой следующим образом:

signingConfigs {
        debug {
            storeFile file('debug.keystore')
            storePassword 'android'
            keyAlias 'androiddebugkey'
            keyPassword 'android'
        }
        release {
            if (System.getenv()["CI"]) { // CI=true is exported by our CI
                storeFile file(System.getenv()["CI_KEYSTORE_PATH"])
                storePassword System.getenv()["CI_KEYSTORE_PASSWORD"]
                keyAlias System.getenv()["CI_KEY_ALIAS"]
                keyPassword System.getenv()["CI_KEY_PASSWORD"]
            }
        }

Недавно мы решили перейти на другой CI (действия GitHub), поэтому нам интересно , нужно ли нам все еще кодировать подпись aab-файла релиза (и таким образом справляться со всеми накладными расходами это идет вместе с загрузкой секретов этому новому CI et c) , так как мы включили подпись в Google Play и Google все равно обрабатывает подпись для нас .

Может нам не нравится использовать debug signingConfig или, что еще лучше, но не подписывать код вообще, и у нас есть google play, чтобы справиться с этим после релиза?

ps. Мы будем создавать и развертывать наш реагирующий на натив проект с использованием fastlane.

Answer 1

Как вы, наверное, знаете, ключ подписи приложения очень важен, так как его нелегко изменить, и если он будет скомпрометирован, многие ваши пользователи будут в опасности.

Теперь, когда Google подписывает APK , если у вас все еще есть ключ подписи приложения, вы должны хранить его в безопасном месте с ограниченными ACL, и вам больше не нужно ничего подписывать с ним.

с Подписание приложения в Google Play предоставляется возможность подписать комплект приложений другим ключом (называемым ключом загрузки ). Хотя это и не обязательно, рекомендуется использовать эту функцию, поскольку она позволяет сохранить ключ подписи приложения в безопасности и использовать только ключ загрузки, чтобы подписать комплект приложений, загруженный на консоль воспроизведения. Подробнее об этом ключе здесь: https://support.google.com/googleplay/android-developer/answer/7384423

Если ключ загрузки скомпрометирован или утерян, вы можете просто попросить Google создать новый, и это не повлияет на ваших пользователей.

Обратите внимание, что все комплекты приложений должны быть подписаны при загрузке в консоль воспроизведения (и это не может быть отладочный сертификат), поэтому, если комплекты, которые вы собираете, используются только для тестирования, а у вас нет Чтобы загрузить их в Play, вы всегда должны подписывать их (желательно с помощью ключа загрузки).

Надеюсь, это поможет,