1. 首頁
  2. 問答
  3. 如何確保Android應用程序真正從源代碼編譯?

如何確保Android應用程序真正從源代碼編譯?

2010-06-24 56 views
4

很多Android應用程序都是開源的,但我們如何才能確保最終上傳到Google Market的人在上傳之前不會包含某些間諜軟件?如何確保Android應用程序真正從源代碼編譯?

背景:移動應用程序的安全性似乎是a growing concern,我想向我的開源Android應用的用戶。需要修改部署過程或應用程序內容的解決方案也是可以接受的。

2012更新:這是正確的方向:http://f-droid.org/他們檢查應用程序並將它們編譯成它們分發的APK。這就是說,如果他們是Mozilla或Apache,我會更信任他們 ...

來源

2010-06-24 Nicolas Raoul

回答

1

查看https://stackoverflow.com/questions/249106/how-can-you-give-users-confidence-that-your-application-has-no-malicious-intent獲取一些相關信息。

你當然可以取源,並建立/自行編譯產生的二進制比較上傳的一個,但不知何故這違背二進制分發的目的。而且在源代碼確實包含惡意代碼的情況下,它仍然沒有幫助。或者,也許構建一個安全的,即可信的引用二進制文件,然後發佈校驗和以進行比較?

除此之外,這個問題還真是不特定的開源軟件。最後,這一切都歸結爲信任。

來源

2010-06-24 08:00:04

+1

生成APK時有一些加密,所以我猜二進制比較不起作用。如何創建這個「可信的參考二進制」?我可以想象的唯一解決方案是擁有一個擁有APK打包密鑰的系統的大型開源基礎,從公共源代碼庫讀取源代碼並輸出簽名的APK。我不知道有這樣做的基礎。 – 2010-06-24 08:14:36

+0

有沒有您的用戶問過這樣的事情?因爲它看起來像是大規模的過度殺毒,除非你的應用程序正在尋求一些合法理由的惡意權限。 – stealthcopter 2010-09-09 02:17:56

+0

@stealthcopter:沒有用戶抱怨,如果他們這樣做,我會理解。軟件安全永遠不會矯枉過正。在我的電腦上,我只安裝我自己或幾個可信來源編譯的軟件;沒有理由對我的手機更放縱。 – 2011-02-28 06:41:39

相關問題

 相關問題