軟體交付前為何需要進行程式碼簽名

　　軟體交付前為何需要進行程式碼簽名？為保護智慧手/機使用者，應用程式軟體商店（如Windows Marketplace）現在要求應用程式碼簽名技術，用程式碼簽名證書（cs.anxinssl.com）對移動軟體程式碼進行“簽名”。建立一個“數字壓縮包”，不僅能夠驗證軟體程式碼的來源，還能確保程式碼並未被修改。

　　

　　程式碼簽名基於公共金鑰加密法技術。開發者或軟體發行商使用“私有”金鑰，在軟體程式碼中加設一個數字簽名。例如，Windows Mobile 7移動平臺，在移動應用程式下載過程中，使用“公共”金鑰驗證簽名，將應用程式簽名中的雜湊碼與所下載程式中的雜湊碼進行對比。

　　

　　數字簽名中的雜湊碼用以確認檔案內容，檢驗檔案在簽名後程式碼是否被更改或損壞。使用者能夠驗證檔案內容及軟體的完整性，同時，發行商應該有能力及時有效召回損壞的證書。

　　

　　理想情況下，移動程式碼簽名的實現有兩個數字認證——一個用來識別發行商，另一個用來識別內容。在這種情況下，發行商使用發行商身份標識號來簽名程式碼，然後上傳，再透過安全介面，由應用認證中心所提供的程式碼簽名服務進行驗證。一旦簽名生效，它便會生成唯一的內容身份識別號，其中包括髮行商身份和應用程式資訊。

　　

　　接下來，認證中心可以使用內容身份識別號對內容重新進行簽名，隨後，它就可以被確定為可信的並允許釋出的程式碼了。如果應用程式中有潛在而敏感的應用程式程式設計介面（API），那麼在簽發內容身份標識號前，便要求有第三方評估。