写点什么

独立开发者的代码签名

  • 2011-12-19
  • 本文字数:592 字

    阅读完需:约 2 分钟

代码签名是一种互联网信任机制,它使软件用户在下载和执行互联网上的可执行代码之前先信任它。由于费用及流程的原因,该机制目前尚未向独立开发者直接开放。但是,现在已经有一些 商店开始向独立开发者发售Thawte 代码签名证书,年费为99 美金。

使用数字签名并不能阻止恶意行为——它只能保证代码不被非原作者之外的第三方篡改。Tim Heuer 最近写过一篇博客,总结了开发者获取证书的流程,给出了需记住的几点建议。Thawte 提供5 中不同的证书,分别面向不同的代码签名实现—— Authenticode Office/VBA Java Adobe AIR Mac 。若使用 Authenticode 证书,你甚至可以给在浏览之外运行或本地安装的 Silverlight 应用签名

代码签名是如何工作的呢?它使用了私钥 - 公钥对和单向 hash 算法。软件发布者使用自己的私钥对可执行代码做签名,而让终端用户使用他(软件发布者)的公钥做验证。CA 机构使用自己的私钥对软件发布者的公钥做签名。因为 CA 机构是被大多数操作系统信任的,所以终端用户就能信任软件发布者的公钥,进而信任其可执行代码。Scott Corley 对该过程有更详细的解释

除了使用 CA 之外,你还可以将自己的公钥公布出去(对方通过下载或安装获得你的公钥),或者在大型可控的部署环境中使用私有 CA(如大公司的内部用户)。此外,在 Android iOS 等新平台中这些方法已经够用,自签名应用甚至是典型的做法。


查看英文原文: Code Signing For Individual Developers

2011-12-19 20:312446
用户头像

发布了 184 篇内容, 共 87.0 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

稳定性方法论:可灰度 & 可监控 & 可回滚

京东科技开发者

京东流水线——满足你对工作流编排的一切幻想

京东科技开发者

2024年,你还在开源自建监控系统?

可观测技术

监控 可观测性

一键解决App应用分发下载问题

GPU云服务器与自建GPU服务器的对比

Ogcloud

gpu 云服务器 GPU云服务器

港美股招商一手票方是什么?

一个普通的写作

MYSQL 同步到ES 如何设计架构保持一致性

不在线第一只蜗牛

MySQL 数据库 架构

外包服务 | 从人员外包到测试工具、测试平台,提供全方位的测试解决方案~

测吧(北京)科技有限公司

测试

AI力量:如何让测试更智能更高效

测吧(北京)科技有限公司

测试

金三银四 | 测试开发岗求职攻略来袭,快来抢先一步!

测吧(北京)科技有限公司

测试

企业异地组网的挑战与解决方案

Ogcloud

SD-WAN 企业网络 SD-WAN组网 SD-WAN服务商 SDWAN

不再等待直接上答案,百度智能云推出数据库 Copilot

Baidu AICLOUD

数据库 大模型

【稳定性】从项目风险管理角度探讨系统稳定性

京东科技开发者

ETL的全量和增量模式

谷云科技RestCloud

数据同步 ETL 增量同步 全量同步

原理剖析:AutoMQ 如何基于裸设备实现高性能的 WAL

AutoMQ

大数据 kafka 云原生 AutoMQ

OPPO案例 | Alluxio在Data&AI湖仓一体的实践

Alluxio

机器学习 模型训练 OPPO Alluxio #人工智能

异地组网有哪些实现方式?为什么要选择SD-WAN?

Ogcloud

SD-WAN 企业网络 SD-WAN组网 SD-WAN服务商 SDWAN

为什么都说 HashMap 是线程不安全的?

伤感汤姆布利柏

技术领导力之路 - 正反馈

阿里技术

技术领导力 正反馈

独立开发者的代码签名_安全_Roopesh Shenoy_InfoQ精选文章