Google Playのアプリケーションを使用する際のセキュリティに関する考慮事項

Question

PlayコンソールでApp Signingに登録したばかりです。

しかし、私は新しいアップロードキーストアとそのパスワードを今どのように扱うべきですか？ このキーストアをバージョン管理下に置き、パスワードをプレーンテキストのビルドスクリプトに入れることはできますか？

このキーストアは、アップロードする前に私のAPKに一時的に署名するためにのみ使用されることを理解しています。だから私はかなり安全だと思う。自分以外の誰もPlayに新しいapkを実際にアップロードすることはできないし、アップロードキーを知ってオリジナルのリリースキーストアにアクセスするオプションもないからだ。

もう一つ気になるのは、アップロードキーストアを変更するオプションが表示されないことです。それは今でも可能ですか、まもなくPlayコンソールにすぐに追加される予定ですか？アップロードキーストアとパスワードをバージョン管理に公開すると、何か問題が生じた場合に新しい秘密キーストアに切り替えることができます。

Answer 1

私は自分の質問に答えます（Reddit discussionに基づいています）。

アップロードキーストアを変更するには、contact Googleサポートに連絡してリセットをリクエストする必要があります。それは最も簡単な選択肢ではありませんが、それでも良い選択肢です。

プライベートレポジトリにパスワードとともにアップロード証明書を保持する大きな問題はありません。自動的にプロダクションビルドをプッシュすることができない限り、それは十分安全であり、Alpha/Betaビルドの配布を簡素化します。

リリースキーストアをGoogleと共有すると、悪意のあるコードをアプリに統合するためにGoogleによって侵害されたり、使用されたりする可能性があるとの懸念があります。しかし、Facebookや他の非常に人気のあるアプリで作業していない限り、Googleに頼るだけで十分安全なはずです。

Answer 2

あなたのキーストアを扱う方法はかなり個人的ですが、パスワードでソースコントロールに特別に公開することはお勧めできません。

あなただけがあなたのアカウントにapkをアップロードすることができますが、あなたのアカウントはさまざまな理由で妥協する可能性があると言えば、あなたのアカウントのapkをアップロードするための第2のステップが必要です。

私はチームに勤めたとき、プライベートソースコントロールがあったので、コードベースでキーストアをアップロードします。しかし、パスワードは1passwordで管理されていました。

私は一人で作業したので、私は自分のキーストアを自分で処理します。

キーストアの変更についての質問です。これは不可能です。これはapkをアップロードした後に変更できない2つのことです：パッケージとキーストア。これはセキュリティ上の理由から行われます。 @jonathanrzが言ったように、それはあなたのキーストアファイルを個人で維持することがベストです、https://developer.android.com/training/articles/keystore.html

Answer 3

：

現在地の詳細情報を持つことができます。 gradle.propertiesファイルを使用してキーストアのパスワードを保存し、build.gradleファイルのプロパティ値を参照するのは簡単です。

あなたの人生でキーストアファイルを保護し、複数の場所でそれらのバックアップを保持してください。忘れた場合は、アプリケーションを再アップロードする必要があります。