Как справиться с подписанием APK для Android в проекте FOSS? - PullRequest
1 голос
/ 29 октября 2010

Я работаю над проектом с открытым исходным кодом для Android, и мне интересно, есть ли какие-либо передовые практики (или, по крайней мере, аргументированные подсказки) о том, как управлять закрытым ключом для подписания APK.

С одной стороны, ключ должен быть защищен, с другой стороны, по крайней мере, члены основной команды должны иметь возможность создавать «официальные» релизы.

Мое первое предложение состояло в том, чтобы просто распространять зашифрованное личноевведите исходный репозиторий и выдайте парольную фразу коммиттерам, но доверие (от сообщества к индивидууму) не может быть отозвано.

Есть ли другой способ поделиться правами подписи (например, путем настройкичастный ЦС и создание ключей для каждого коммиттера) среди участников?

1 Ответ

1 голос
/ 29 октября 2010

Вам, вероятно, следует ограничить количество людей, у которых есть ключ подписи для данного «брендинга» проекта - что, конечно, отличается от других сборок. Если вы ожидали создать значительную лояльность к этому брендингу, возможно, неуместно, чтобы ключ когда-либо присутствовал на компьютере, подключенном к сети. Точно так же вы, вероятно, не хотите делиться логином на рынке Android (если вы так распространяете) очень широко. Вероятно, один человек имеет рабочую копию и ему поручено ее использовать, а у одного или двух других есть дублирующаяся информация в запечатанных конвертах. Все до того момента, когда новая версия будет загружена на рынок, будет выполнено с помощью ключей отладки или тестирования - это, вероятно, означает, что ваши разработчики и вовлеченные пользователи обычно используют версию, которая не подписана тем же ключом, что и опубликованная на рынке версия , но иногда может быть одним и тем же бинарным выпуском, иногда ночной или иногда собственной сборкой, в каждом случае подписанной своим личным ключом.

...