90 款 APP 被下架，電腦端軟件開發(fā)也需注意這些事

來源：GDCA數(shù)安時代 發(fā)布時間：2021-10-23瀏覽：3403次

近期，工信部通報下架的侵犯權益的APP中，大多數(shù)都是因為違規(guī)收集個人信息。
我們姑且不論這些APP的違規(guī)行為是有意還是無意的，但從這次事件中我們可以看出國家對個人信息安全的重視。所謂兔死狐悲，物傷其類，有了這次“殺雞儆猴”的例子，電腦軟件開發(fā)者也應該從中吸取教訓：端正立場，不做違規(guī)的事；防止軟件代碼被黑客惡意篡改或植入病毒，不做背鍋俠。
也許您會說，我是身正不怕影子斜，但架不住小人（黑客）的暗害啊，畢竟在這個互聯(lián)網(wǎng)技術飛速發(fā)展的時代，有很多讓我們防不勝防的隱患存在。
是的，不排除有這種可能，而且像這類軟件代碼被黑客篡改或是被植入病毒的事件在近幾年也是層出不窮。在這里，我們不得不談談代碼簽名證書的重要性了。
什么是代碼簽名證書？
代碼簽名證書申請適合軟件開發(fā)者對其開發(fā)的軟件，可執(zhí)行腳本、代碼和內(nèi)容進行簽名來標識軟件來源以及軟件開發(fā)者的真實身份。消除軟件安裝時彈出的不安全警告。防止惡意篡改，以及提升企業(yè)形象。
代碼簽名證書的原理
代碼簽名的基礎是PKI安全體系。代碼簽名證書由簽名證書私鑰和公鑰證書兩部分組成。私鑰用于代碼的簽名，公鑰用于私鑰簽名的驗證和證書持有者的身份識別。
發(fā)布者從CA機構（WoSign）申請數(shù)字證書；
發(fā)布者開發(fā)出代碼；借助代碼簽名工具，發(fā)布者將使用MD5或SHA算法產(chǎn)生代碼的哈希值，然后用代碼簽名證書私鑰對該哈希值簽名，從而產(chǎn)生一個包含代碼簽名和軟件發(fā)布者的簽名證書的軟件包；
用戶的運行環(huán)境訪問到該軟件包，并檢驗軟件發(fā)布者的代碼簽名數(shù)字證書的有效性。由于沃通CA根證書的公鑰已經(jīng)嵌入到用戶的運行環(huán)境的可信根證書庫，所以運行環(huán)境可驗證發(fā)布者代碼簽名數(shù)字證書的真實性；
用戶的運行環(huán)境使用代碼簽名數(shù)字證書中含有的公鑰解密被簽名的哈希值；
用戶的運行環(huán)境使用同樣的算法新產(chǎn)生一個原代碼的哈希值；
用戶的運行環(huán)境比較兩個哈希值。如果相同，將發(fā)出通知聲明代碼已驗證通過。所以用戶可以相信該代碼確實由證書擁有者發(fā)布，并且未經(jīng)篡改。