90 款 APP 被下架，電腦端軟件開發(fā)也需注意這些事

來(lái)源：GDCA數(shù)安時(shí)代 發(fā)布時(shí)間：2021-10-23瀏覽：3410次

近期，工信部通報(bào)下架的侵犯權(quán)益的APP中，大多數(shù)都是因?yàn)檫`規(guī)收集個(gè)人信息。
我們姑且不論這些APP的違規(guī)行為是有意還是無(wú)意的，但從這次事件中我們可以看出國(guó)家對(duì)個(gè)人信息安全的重視。所謂兔死狐悲，物傷其類，有了這次“殺雞儆猴”的例子，電腦軟件開發(fā)者也應(yīng)該從中吸取教訓(xùn)：端正立場(chǎng)，不做違規(guī)的事；防止軟件代碼被黑客惡意篡改或植入病毒，不做背鍋俠。
也許您會(huì)說(shuō)，我是身正不怕影子斜，但架不住小人（黑客）的暗害啊，畢竟在這個(gè)互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的時(shí)代，有很多讓我們防不勝防的隱患存在。
是的，不排除有這種可能，而且像這類軟件代碼被黑客篡改或是被植入病毒的事件在近幾年也是層出不窮。在這里，我們不得不談?wù)劥a簽名證書的重要性了。
什么是代碼簽名證書？
代碼簽名證書申請(qǐng)適合軟件開發(fā)者對(duì)其開發(fā)的軟件，可執(zhí)行腳本、代碼和內(nèi)容進(jìn)行簽名來(lái)標(biāo)識(shí)軟件來(lái)源以及軟件開發(fā)者的真實(shí)身份。消除軟件安裝時(shí)彈出的不安全警告。防止惡意篡改，以及提升企業(yè)形象。
代碼簽名證書的原理
代碼簽名的基礎(chǔ)是PKI安全體系。代碼簽名證書由簽名證書私鑰和公鑰證書兩部分組成。私鑰用于代碼的簽名，公鑰用于私鑰簽名的驗(yàn)證和證書持有者的身份識(shí)別。
發(fā)布者從CA機(jī)構(gòu)（WoSign）申請(qǐng)數(shù)字證書；
發(fā)布者開發(fā)出代碼；借助代碼簽名工具，發(fā)布者將使用MD5或SHA算法產(chǎn)生代碼的哈希值，然后用代碼簽名證書私鑰對(duì)該哈希值簽名，從而產(chǎn)生一個(gè)包含代碼簽名和軟件發(fā)布者的簽名證書的軟件包；
用戶的運(yùn)行環(huán)境訪問(wèn)到該軟件包，并檢驗(yàn)軟件發(fā)布者的代碼簽名數(shù)字證書的有效性。由于沃通CA根證書的公鑰已經(jīng)嵌入到用戶的運(yùn)行環(huán)境的可信根證書庫(kù)，所以運(yùn)行環(huán)境可驗(yàn)證發(fā)布者代碼簽名數(shù)字證書的真實(shí)性；
用戶的運(yùn)行環(huán)境使用代碼簽名數(shù)字證書中含有的公鑰解密被簽名的哈希值；
用戶的運(yùn)行環(huán)境使用同樣的算法新產(chǎn)生一個(gè)原代碼的哈希值；
用戶的運(yùn)行環(huán)境比較兩個(gè)哈希值。如果相同，將發(fā)出通知聲明代碼已驗(yàn)證通過(guò)。所以用戶可以相信該代碼確實(shí)由證書擁有者發(fā)布，并且未經(jīng)篡改。