Разработка приложений для Apple — сложности подписи кода

Разработка приложений для Apple — сложности подписи кода ⇐ IOS

1 сообщение • Страница 1 из 1

Anonymous

Разработка приложений для Apple — сложности подписи кода

Цитата

Сообщение Anonymous » 19 ноя 2024, 00:52

Мы новички в разработке Apple iOS. Наша команда состоит из нескольких внутренних разработчиков и нескольких внешних подрядчиков. Мы разрабатываем с использованием React Native и используем базовое приложение Fastlane для создания приложений и отправки их в App Store Connect. На данный момент некоторые подрядчики имеют доступ к Appstore Connect с ролью «разработчик», и все внутренние разработчики имеют к нему доступ. Все разработчики используют флажок «Автоматически управлять подписью» в своем Xcode.
Изучая лучшие практики управления командой разработки приложений, мы обнаружили несколько статей, использующих fastlane match, чтобы упростить управление сертификатами, и нам интересно, действительны ли они до сих пор.
Например

рекомендует использовать match для хранения сертификаты/профили разработки/распространения в репозитории git и поделитесь ими с командой. Основное преимущество, на которое было указано, — это простота администрирования (и, возможно, безопасность).
например:

Вам придется вручную обновлять и загружать последний набор профилей обеспечения каждый раз, когда вы добавляете новое устройство или истекает срок действия сертификата. Кроме того, это требует много времени при настройке новой машины, на которой будет создаваться ваше приложение.

Если нет проблем с безопасностью, мы не видим до сих пор у администрации возникли большие проблемы с «автоматической подписью».

Являются ли вышеперечисленные проблемы больше не актуальными в мире, где люди преимущественно используют «автоматическую подпись»?
Или мы что-то упустили в настройке и работе все не так?
Безопасно ли добавлять подрядчиков в учетную запись разработчика (App Store Connect) и предоставлять им доступ к своим собственным сертификатам разработчика?
Если мы делимся репозиторием git с подрядчиками, как предложено в Match, они также получат доступ к сертификатам распространения. Разве это не угроза безопасности? Или нам следует управлять только сертификатами разработки с помощью Match

Подробнее здесь: https://stackoverflow.com/questions/781 ... mplexities

1731966776

Anonymous

Мы новички в разработке Apple iOS. Наша команда состоит из нескольких внутренних разработчиков и нескольких внешних подрядчиков. Мы разрабатываем с использованием React Native и используем базовое приложение Fastlane для создания приложений и отправки их в App Store Connect. На данный момент некоторые подрядчики имеют доступ к Appstore Connect с ролью «разработчик», и все внутренние разработчики имеют к нему доступ. Все разработчики используют флажок «Автоматически управлять подписью» в своем Xcode.
Изучая лучшие практики управления командой разработки приложений, мы обнаружили несколько статей, использующих fastlane match, чтобы упростить управление сертификатами, и нам интересно, действительны ли они до сих пор.
Например
[list]
[*] https://codesigning.guide/
[*]https://medium.com/revelo-tech/setting-up-automatic-ios-release-with-fastlane-and-match-on-ci-cd-server-16c3f1d79bc5
[*]https://fastlane.tools/
[/list]
рекомендует использовать match для хранения сертификаты/профили разработки/распространения в репозитории git и поделитесь ими с командой. Основное преимущество, на которое было указано, — это простота администрирования (и, возможно, безопасность).
например:

Вам придется вручную обновлять и загружать последний набор профилей обеспечения каждый раз, когда вы добавляете новое устройство или истекает срок действия сертификата. Кроме того, это требует много времени при настройке новой машины, на которой будет создаваться ваше приложение.

Если нет проблем с безопасностью, мы не видим до сих пор у администрации возникли большие проблемы с «автоматической подписью».
[list]
[*]Являются ли вышеперечисленные проблемы больше не актуальными в мире, где люди преимущественно используют «автоматическую подпись»?
Или мы что-то упустили в настройке и работе все не так?
[*]Безопасно ли добавлять подрядчиков в учетную запись разработчика (App Store Connect) и предоставлять им доступ к своим собственным сертификатам разработчика?
[*]Если мы делимся репозиторием git с подрядчиками, как предложено в Match, они также получат доступ к сертификатам распространения. Разве это не угроза безопасности? Или нам следует управлять только сертификатами разработки с помощью Match
[/list] 

Подробнее здесь: [url]https://stackoverflow.com/questions/78180002/apple-app-development-code-signing-complexities[/url]