我将我的游戏从iOS移植到Android,我对Android一无所知。我雇用的开发人员使用他的密钥库文件作为应用程序。我应该担心吗?我能做些什么吗?
答案 0 :(得分:0)
首先要了解您的密钥库 您的密钥库用于生成带有密码的APK并上传到市场。
上传到市场后,该应用已锁定密钥库和密码。如果开发人员拥有密钥库和密码的副本,他们可以创建一个相同的软件包ID应用程序,并使用相同的密钥库和密码对其进行签名,并在市场上窃取您的位置。
你当然会收到一封电子邮件,所以你可以抓住他们做到了。 谷歌可能会与你合作,让它恢复并更换。
但是,您现在只需选择加入市场上的应用程序签名,即可将当前的密钥库上传到应用商店。如果您丢失了密码或密钥库信息,这可以让您恢复。这是一个很好的新功能,但不会让你明显地被盗。
现在,如果该应用还没有上市,只需创建一个新的密钥库和密码,然后从那里开始。
如果它在商店中,如果您还没有庞大的用户群,则可以更改包ID,并删除旧应用并使用新包创建同一应用的新密钥库和密码标识。
示例 com.mysite.myapp 可能成为 com.mysite.mynewapp
现在供将来参考。请不要让工程师拥有您的生产密码。他们可以帮助您创建密钥库,然后键入密码。然后将密钥库作为签名的一部分移动到repo中,或者移动到CI构建机器以生成构建。
密码应该是安全的,执行此操作的常见方法是在构建服务器上的环境变量中,因此只有构建服务器assembleRelease可以工作,因为其余部分找不到MY_SIGNING_KEY的本地环境变量值。
希望有所帮助。