OpenAtom OpenHarmony三方庫（以下簡稱“三方庫”或“包”），是經過驗證可在OpenHarmony系統上可重複使用的軟體元件，可幫助開發者快速開發OpenHarmony應用。三方庫根據其開發語言分為2種，一種是使用JavaScript和TypeScript語言的三方庫，通常以原始碼或OpenHarmony HAR/HSP的方式引入，在應用開發中使用。另一種是C和C++語言的三方庫，通常在應用開發中透過N-API暴露JS介面的方式使用，或直接編譯在OpenHarmony作業系統映象中。

鼓勵開發者透過 OpenHarmony三方庫中心倉（地址為：來分享自己的三方庫（無論是否已經開源），能讓更多的開發者免費使用，繁榮 OpenHarmony應用生態。本文將具體介紹三方庫的釋出與安全隱私檢測。

一、建立及釋出三方庫

1 .1 建立三方庫

建立 OpenHarmony三方庫，支援透過DevEco Studio （以下簡稱 I DE ）介面建立和 OHPM命令列建立兩種方式。

方法1：透過IDE介面建立

在應用工程中，新建立 Module，選擇"Static Library"模板，建立完成後，完善 oh-package.json5的資訊，其中名稱、版本等資訊根據實際情況填寫。

方法2：透過OHPM命令列建立

O HPM命令列建立，可透過三方中心倉指導文件操作，連結地址：

1.2 編譯打包 HAR/HSP

開發完庫模組後，選中模組名，然後透過 DevEco Studio選單欄的 Build > Make Module ${libraryName}進行編譯構建，生成HAR/HSP。HAR/HSP可用於工程其它模組的引用，或將HAR/HSP上傳至 OHPM平臺，供其他開發者下載使用。若部分原始碼檔案不需要打包至HAR/HSP中，可透過建立.ohpmignore檔案，配置打包時要忽略的檔案/資料夾。

1.3 釋出三方庫

（一） 敏感資訊自檢

將敏感資訊釋出到本平臺可能會損害您的使用者、危及您的開發基礎架構、造成高昂的修復成本，並使您面臨法律訴訟的風險。我們強烈建議在將三方庫釋出到本平臺之前，刪除敏感資訊，例如私鑰、密碼、個人資訊和信用卡資料等。

（二） O HPM 公鑰配置

OpenHarmony 三方庫中心倉和 ohpm-cli 命令列工具的通訊 ( 查詢、下載、釋出 ) ，需要建立可信的安全通道，可以按如下步驟進行配置 OHPM 公鑰。

1. 在進行 publish 釋出前，請先確保在 OpenHarmony 三方庫中心倉上已經建立了帳號，且利用工具 ssh-keygen 生成公、私鑰檔案，可執行以下命令：

ssh-keygen -m PEM -t RSA -b 4096 -f ~/.ssh_ohpm/mykey

說明： ~/.ssh_ohpm/mykey 為私鑰檔案 mykey 的檔案路徑，按照實際情況指定。指定的私鑰儲存目錄必須存在。追加了 .pub 字尾的相應公鑰檔案會在與私鑰相同的目錄中生成。

注意：OHPM 包管理器只支援加密金鑰認證，請在生成公私鑰時輸入密碼。

2. 請將公鑰上傳至OpenHarmony 三方庫中心倉【個人中心】 - 【認證管理】下：點選頁面左上角的 “ 新增 ” 按鈕，並將公鑰檔案（ mykey.pub ）的內容貼上到公鑰輸入框中。

3. 請將對應私鑰檔案路徑配置到 .ohpmrc 檔案中 key_path 欄位上，可執行以下命令進行配置：

ohpm config set key_path ~/.ssh_ohpm/mykey

最後登入本平臺，從【個人中心】頁面中【複製釋出碼】，並配置到 . ohpm rc 檔案中 publish_id 欄位上，可執行如下命令：

ohpm config set publish_id your_publish_id

（三）釋出

執行如下命令釋出HAR ， <HAR 路徑 > 請指定為待發布 HAR 的具體路徑

ohpm publish <HAR路徑>

publish 命令其他使用方法及相關規則，請參閱常用命令章節。

釋出成功之後，本平臺將會給您的賬號傳送 “ 建立上架稽核單成功 ” 通知，您可登入本平臺，進入個人中心介面，關注【訊息】通知。

（四） 等待稽核

稽核透過之後將會給您的賬號傳送 “ 稽核透過 ” 通知，您可登入本平臺個人中心管理介面，關注【個人中心】- 【訊息】通知。

上架稽核透過通知訊息示例：

（五） 管理已釋出的三方庫

登入本平臺，在【個人中心】- 【 Package 】管理介面，檢視已釋出的三方庫稽核、上下架狀態。

二、三方庫安全隱私檢測

安全是 OHPM平臺的核心原則之一，為此，我們將基於 OHPM平臺行為準則對您的賬號及使用該賬號提交上架稽核的內容。三方庫稽核流程主要包括自動化工具掃描和人工稽核，對三方庫進行監測和分析，以識別可能存在的惡意行為。

圖 1 三方庫稽核流程

2.1 工具掃描

其中，工具掃描包括完整性檢查與安全性檢查兩部分。完整性檢查將基於建立三方庫的具體要求進行三方庫目錄、內容稽核，如果您提交的三方庫缺少必要性檔案，三方庫將被退回，請您根據提示完善三方庫內容後再次提交上架稽核；安全性檢查將結合目前已有的安全檢測工具，對三方庫進行定期檢測。支援的風險型別包括：

1. 安全漏洞檢測

安全漏洞檢測工具可以對三方庫進行實時漏洞檢測，並融合網路環境、威脅情報、漏洞影響、 poc、時間因子、CVSS評分等多個風險評估因子對漏洞進行風險評估，以便及時對高危漏洞進行處理或修復，確保儘快實現漏洞的發現、修復及驗證工作。

2. 惡意軟體檢測

安全檢測工具利用惡意性聚類、深層關聯關係挖掘的手段，針對特種木馬及惡意程式進行檢查分析，可以檢測多種樣本型別，能識別出偽裝成圖片或其他正常檔案的木馬，以及各種惡意軟體包。然後利用依賴檢測分析發現專案、軟體依賴關係，幫助企業發現使用的開源包（開源庫）的依賴項，以及當前存在的已知安全漏洞，提高三方庫的透明度和安全性。如果發現安全隱患，三方庫將被退回，並提示稽核不透過的原因；

3 . 其他安全掃描

除以上兩種安全檢測，三方包在上架前必須經過以下幾個維度掃描：

（ 1）敏感函式的呼叫：透過構建所有潛在的呼叫棧，分析程式的敏感行為。

（ 2）許可權濫用：包含敏感許可權，高風險許可權的宣告，宣告未使用，或者使用未宣告。

（ 3）存在風險的網路連線：包括URL，IP檢測。

（ 4）資料跨境的檢查：跨境分級，規避法律風險。

（ 5）內容的合規：比如內嵌圖片，文字是否存在黃賭毒，涉政，涉敏等。

（ 6）個人資料的蒐集：圍繞工信部定義的個人資料列表，進行分析處理。

（ 7）汙點分析：透過汙點分析技術，得出個人資料是否存在被髮送出去的可能。

（ 8 ） SDK偵測：原始碼級別和配置檔案級別的SCA 。

（ 9 ）關聯啟動和常駐行為：檢測非使用者主動發起的關聯啟動行為，或者退出程式常駐行為。

1

2

2 .2 人工複審

人工複審會對提交的三方庫進行功能性測試，如果三方庫沒有真正的功能實現或其功能無法在 OpenHarmony上驗證，將被視為無效三方庫，三方庫將被退回，並提示稽核不透過的原因。

更多資訊請參考：

OpenAtom OpenHarmony三方庫建立釋出及安全隱私檢測