让我们说我想创建一个处理敏感用户数据的应用,用户可能不会信任它,除非他们可以自己验证iOS / Android应用与源完全相同在GitHub回购中。
在React Native中是否有某种方式可以让我的应用在mainjs.bundle文件上运行MD5哈希,并在应用中显示?然后,从理论上讲,精通技术的用户可以克隆GitHub仓库,构建它,并在mainjs.bundle上运行自己的MD5哈希并看到它匹配。
当然,这不是万无一失的。恶意开发人员可以轻松地拥有私有仓库,他们对哈希进行硬编码,插入恶意代码,然后发布到AppStore。但这可能是一个不错的起点。我也对其他/更好的想法持开放态度!
答案 0 :(得分:2)
你在应用程序中显示的任何内容都是毫无价值的,因为应用程序的修改版本可以显示相同的内容。
您要做的是为人们提供执行步骤,以测试他们拥有的应用是否正确。
看起来像
如果你有一个shrinkwrap文件,那么构建应该是可重现的。
请注意,它不包含比较本机代码的步骤,本机代码也可能包含恶意软件: