我正在开发一个应用程序,我认为如果它有自动更新功能会很好。
它是一个nodejs应用程序,我正在使用电子构建器。
我的问题是这有多安全。因为如果某人掌握了你的github api令牌,他可能会在你所有客户的计算机上发布恶意代码。当客户是一家大公司时哪个更糟。它可能在内部伤害他们。
我知道所有最受欢迎的应用程序都有自动更新,他们如何安全地管理?
答案 0 :(得分:0)
因为如果有人获得了你的github api令牌,他可能会在你所有客户的计算机上发布恶意代码。
除了拥有limited scope的令牌,electron-userland/electron-builder issue 1393提及您应该拥有一个组织并创建一个专用用户。
只有在这种情况下,您才能以某种方式共享访问令牌
这是一个machine user,但确实需要一个组织。
这意味着令牌只能作为机器用户从特定组织读取和访问发布。