将证书凭据赠送给第三方有什么风险？

Question

在我的公司，我们在Android应用程序上与外包合作。如果外包提供商拥有完整的源代码，那么还可以向他提供证书及其凭证，我们用它们来签署应用程序的APK吗？

Answer 1

Android应用程序的安全性有3个步骤：

1. 源代码
2. .jks和credentials
3. Google console access

如果你破坏了所有这三项，他们可能会返工并将你的应用程序重新上传到Google Play Store。也许，给他们发送.jks和凭据是个坏主意。

实际上，他们为什么需要这样做呢？

Answer 2

您用来签署APK的发布密钥库在其生命周期中将保持不变。如果您使用的是App Signing系统，则共享上传密钥的风险较小，因为您的开发人员控制台帐户凭据将保留在您身边，并且您可以重置该密钥。

即使他们拥有对源代码的完全访问权限，最好限制对证书和密钥的访问，以避免以后他们可能无法与您一起工作时的模拟或误用。您还可以考虑managing permissions for developer account users，以确保他们只能修改您允许他们修改的内容。