android 的keystore 是完全由开发者自己掌握的,如果丢了或者忘记密码了,也就没办法更新app 了。另一方面如果keystore 和密码被泄露出去了,那么自己的app 就面临被人修改的危险。其他像iOS 等需要对发布的版本做签名的应该也有类似问题。
我在公司的做法是专门搭建了一个linux 的build server,用c写个小程序(owner 是root,权限是711)来调jarsigner,密码写死在程序里。发布的版本的人用普通用户登录生成apk并签名。
不知道大家的做法是怎么样的?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://study.congcong.us/t/103140
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.