OpenAtom OpenHarmony三方庫建立釋出及安全隱私檢測
OpenAtom OpenHarmony三方庫(以下簡稱“三方庫”或“包”),是經過驗證可在OpenHarmony系統上可重複使用的軟體元件,可幫助開發者快速開發OpenHarmony應用。三方庫根據其開發語言分為2種,一種是使用JavaScript和TypeScript語言的三方庫,通常以原始碼或OpenHarmony HAR/HSP的方式引入,在應用開發中使用。另一種是C和C++語言的三方庫,通常在應用開發中透過N-API暴露JS介面的方式使用,或直接編譯在OpenHarmony作業系統映象中。
鼓勵開發者透過 OpenHarmony三方庫中心倉 (地址為: 來分享自己的三方庫(無論是否已經開源),能讓更多的開發者免費使用 , 繁榮 OpenHarmony應用生態。本文將具體介紹三方庫的釋出與安全隱私檢測。
一、建立及釋出三方庫
1 .1 建立三方庫
建立 OpenHarmony三方庫,支援透過DevEco Studio (以下簡稱 I DE )介面建立和 OHPM命令列建立兩種方式。
方法1:透過IDE介面建立
在應用工程中,新建立 Module,選擇"Static Library"模板,建立完成後,完善 oh-package.json5的資訊,其中名稱、版本等資訊根據實際情況填寫。
方法2:透過OHPM命令列建立
O HPM命令列建立 , 可透過三方中心倉指導文件操作 , 連結地址 :
1.2 編譯打包 HAR/HSP
開發完庫模組後,選中模組名,然後透過 DevEco Studio選單欄的 Build > Make Module ${libraryName}進行編譯構建,生成HAR/HSP。HAR/HSP可用於工程其它模組的引用,或將HAR/HSP上傳至 OHPM平臺 ,供其他開發者下載使用。若部分原始碼檔案不需要打包至HAR/HSP中,可透過建立.ohpmignore檔案,配置打包時要忽略的檔案/資料夾。
1.3 釋出三方庫
(一) 敏感資訊自檢
將敏感資訊釋出到 本平臺 可能會損害您的使用者、危及您的開發基礎架構、 造成 高昂 的 修復成本,並使您面臨法律訴訟的風險。我們強烈建議在將三方庫釋出到 本平臺 之前,刪除敏感資訊,例如私鑰、密碼、個人資訊和信用卡資料等。
(二) O HPM 公鑰配置
OpenHarmony 三方庫中心倉 和 ohpm-cli 命令列工具的通訊 ( 查詢、下載、釋出 ) ,需要建立可信的安全通道,可以按如下步驟進行配置 OHPM 公鑰。
1. 在進行 publish 釋出前,請先確保在 OpenHarmony 三方庫中心倉上已經建立了帳號,且利用工具 ssh-keygen 生成公、私鑰檔案,可執行以下命令:
ssh-keygen -m PEM -t RSA -b 4096 -f ~/.ssh_ohpm/mykey
說明: ~/.ssh_ohpm/mykey 為私鑰檔案 mykey 的檔案路徑,按照實際情況指定。指定的私鑰儲存目錄必須存在。追加了 .pub 字尾的相應公鑰檔案會在與私鑰相同的目錄中生成。
注意:OHPM 包管理器只支援加密金鑰認證,請在生成公私鑰時輸入密碼。
2. 請將公鑰上傳至OpenHarmony 三方庫中心倉【個人中心】 - 【認證管理】下:點選頁面左上角的 “ 新增 ” 按鈕,並將公鑰檔案( mykey.pub )的內容貼上到公鑰輸入框中。
3. 請將對應私鑰檔案路徑配置到 .ohpmrc 檔案中 key_path 欄位上,可執行以下命令進行配置:
ohpm config set key_path ~/.ssh_ohpm/mykey
最後登入 本平臺 ,從 【個人中心】頁面中【複製釋出碼】,並配置到 . ohpm rc 檔案中 publish_id 欄位上,可執行如下命令:
ohpm config set publish_id your_publish_id
(三) 釋出
執行如下命令釋出HAR , <HAR 路徑 > 請指定為待發布 HAR 的具體路徑
ohpm publish <HAR路徑>
publish 命令其他使用方法及相關規則,請參閱 常用命令章節。
釋出成功之後, 本平臺 將會給您的 賬號 傳送 “ 建立上架稽核單成功 ” 通知,您可登入 本平臺 ,進入個人中心介面,關注【訊息】通知。
(四) 等待稽核
稽核透過之後將會給您的 賬號 傳送 “ 稽核透過 ” 通知,您可登入 本平臺 個人中心管理介面,關注【個人中心】- 【訊息】通知。
上架稽核透過通知訊息示例:
(五) 管理已釋出的三方庫
登入 本平臺 ,在【個人中心】- 【 Package 】管理介面,檢視已釋出的三方庫稽核、上下架狀態。
二、三方庫安全隱私檢測
安全是 OHPM平臺的核心原則之一,為此,我們將 基 於 OHPM平臺 行為準則 對您的賬號及使用該賬號提交上架稽核的內容。三方庫稽核流程主要包括自動化工具掃描和人工稽核,對三方庫進行監測和分析,以識別可能存在的惡意行為。
圖 1 三方庫稽核流程
2.1 工具掃描
其中,工具掃描包括完整性檢查與安全性檢查兩部分。完整性檢查將基於 建立三方庫 的具體要求進行三方庫目錄、內容稽核,如果您提交的三方庫缺少必要性檔案,三方庫將被退回,請您根據提示完善三方庫內容後再次提交上架稽核;安全性檢查將 結合目前已有的安全檢測工具,對三方庫進行定期檢測。支援的風險型別包括:
1. 安全漏洞檢測
安全漏洞檢測工具可以對三方庫進行實時漏洞檢測,並融合網路環境、威脅情報、漏洞影響、 poc、時間因子、CVSS評分等多個風險評估因子對漏洞進行風險評估,以便及時對高危漏洞進行處理或修復,確保儘快實現漏洞的發現、修復及驗證工作。
2. 惡意軟體檢測
安全檢測工具利用惡意性聚類、深層關聯關係挖掘的手段,針對特種木馬及惡意程式進行檢查分析,可以檢測多種樣本型別,能識別出偽裝成圖片或其他正常檔案的木馬,以及各種惡意軟體包。然後利用依賴檢測分析發現專案、軟體依賴關係,幫助企業發現使用的開源包(開源庫)的依賴項,以及當前存在的已知安全漏洞,提高三方庫的透明度和安全性。如果發現安全隱患,三方庫將被退回,並提示稽核不透過的原因;
3 . 其他安全掃描
除以上兩種安全檢測 , 三方包在上架前必須經過以下 幾 個維度掃描 :
( 1) 敏感函式的呼叫:透過構建所有潛在的呼叫棧,分析程式的敏感行為。
( 2) 許可權濫用:包含敏感許可權,高風險許可權的宣告,宣告未使用,或者使用未宣告。
( 3) 存在風險的網路連線:包括URL,IP檢測。
( 4) 資料跨境的檢查:跨境分級,規避法律風險。
( 5) 內容的合規:比如內嵌圖片,文字是否存在黃賭毒,涉政,涉敏等。
( 6) 個人資料的蒐集:圍繞工信部定義的個人資料列表,進行分析處理。
( 7) 汙點分析:透過汙點分析技術,得出個人資料是否存在被髮送出去的可能。
( 8 ) SDK偵測:原始碼級別和配置檔案級別的SCA 。
( 9 ) 關聯啟動和常駐行為 : 檢測非使用者主動發起的關聯啟動行為 , 或者退出程式常駐行為 。
2 .2 人工複審
人工複審會對提交的三方庫進行功能性測試,如果三方庫沒有真正的功能實現或其功能無法在 OpenHarmony上 驗證,將被視為無效三方庫,三方庫將被退回,並提示稽核不透過的原因。
更多資訊請參考 :
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70011554/viewspace-2995074/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- OpenAtom OpenHarmony分論壇,今天14:00見!附大事記精彩釋出
- 安暢檢測——讓隱私安全沐浴在陽光下
- APP隱私合規檢測:APP
- 騰訊安全釋出《APP隱私合規白皮書》APP
- 夯實隱私與安全,打造安全可靠的支付級活體驗檢測能力
- 移動應用隱私合規檢測簡介及目標檢測技術的應用
- 微信小程式第三方平臺開發【全網釋出及全網釋出接入檢測】微信小程式
- OPPO安全重磅出擊 劍指安全與隱私保護
- 《Whale 帷幄隱私保護白皮書》重磅釋出!
- Android App隱私合規檢測輔助工具(Camille)AndroidAPP
- 微信隱私安全設定教程 如何設定微信隱私安全?
- websocket-heartbeat-js心跳檢測庫正式釋出WebJS
- 基因檢測公司向FBI開放資料庫 公民隱私再一次向公共安全妥協資料庫
- 中國將釋出機器人檢測認證標誌,檢測交由第三方機構機器人
- OpenHarmony整合OCR三方庫實現文字提取
- BabaSSL 釋出 8.3.0|實現相應隱私計算的需求
- 阿里雲EMAS|App隱私合規“免費”自動化檢測阿里APP
- Android 隱私合規靜態檢查Android
- 系統安全漏洞檢測技術 第三方檢測機構
- 號碼隱私保護服務:保障億萬消費者的隱私安全
- OpenHarmony v3.1 Release版本釋出
- 映象規範檢測工具釋出
- 銘說 | 淺論資料安全中的隱私計算方法之差分隱私
- 大資料安全與隱私保護大資料
- 蘋果將於今春釋出內建反廣告追蹤隱私功能的iOS測試版本蘋果iOS
- 《隱私計算在科教衛生領域應用白皮書》正式釋出
- Gartner釋出當前至2024年的五大隱私趨勢
- Chrome Canary 迎來重新設計的隱私和安全檢查設定選項Chrome
- 如何用 AI 技術保護隱私安全?AI
- 隱私政策
- 隱私計算在智慧城市建設中的應用:平衡公共安全與個人隱私
- 隱私計算FATE-離線預測
- 星環科技Sophon 3.1釋出,模型運管、隱私計算、邊緣計算模型
- Android 隱私合規靜態檢查實現(二)Android
- “隱身貓”傳播量劇增賬號及隱私需保護
- 《個保法》施行 | App 隱私合規檢測雙十一嚐鮮僅需99元APP
- OpenHarmony 4.1 Release版本正式釋出,邀您體驗
- Taro 3.5 canary 釋出:支援適配 鴻蒙&&OpenHarmony鴻蒙