Android的安全开发设置

Question

这可能是一个无知的问题，但我试图在Windows和Mac上建立一个Android开发环境，并希望确保我不会搞砸任何事情。有了所有Java漏洞，我的开发机器的安全性就成了首要关注的问题。是否有确保安全开发环境的“最佳实践”，是否有人使用VM进行开发，或者如果我根本没有安装浏览器扩展，那么安全性是否是一个没有问题的问题？

总之，安装JDK是否会让机器面临不必要的攻击驱动风险，还是这些漏洞严格地来自浏览器插件？

Answer 1

您最关心的是JavaApplet插件，它无疑会被安装在JDK旁边，而且您很可能永远不想要这个插件。

以下是对此的极端偏见：

sudo rm -rf /Library/Internet\ Plug-Ins/JavaAppletPlugin.plugin

有理由设置一个cron作业来定期完成这个任务，只是为了确保它不会重新出现。

碰巧，当报告了安全漏洞时，MacOSX非常认真地禁用它(也就是说，通常情况下)，然后要求用户显式地重新启用它。

至于开发工具: Eclipse和Intellij都是基于Java的。只从有信誉的来源获得它们，如果可用的话检查md5散列。

Answer 2

大多数情况下你应该会没事的。您正在针对SDK进行开发，并将在您自己的设备或模拟器上进行测试。您还可能使用源代码管理，这就是您想要学习最佳实践的地方。

任何包含安全密钥、API密钥、密码或任何敏感信息的文件都应被忽略，而不应放到源代码管理中。我喜欢将我的签名密钥完全放在源代码管理之外的一个单独的文件夹中。这可能是最大的安全漏洞所在；如果这些文件中有任何一个用于版本控制，则立即撤销和重新生成它们。