security - 如何使应用程序自动更新安全
问题描述
我正在开发一个应用程序,我认为如果它具有自动更新功能会很好。
这是一个 nodejs 应用程序,我正在使用电子生成器。
我的问题是那有多安全。因为如果有人获得了您的 github api 令牌,他可能会在您的所有客户端计算机上发布恶意代码。当客户是大公司时,情况更糟。它可能会在内部伤害他们。
我知道所有最流行的应用程序都有自动更新,他们如何安全地管理它?
解决方案
因为如果有人获得了您的 github api 令牌,他可能会在您的所有客户端计算机上发布恶意代码。
除了拥有一个范围有限的令牌之外,electron-userland/electron-builder 问题 1393提到您应该拥有一个组织并创建了一个专用用户。
只有在这种情况下,您才能以某种方式共享访问令牌
那是一个机器用户,但它确实需要一个组织。
这意味着令牌将只能作为机器用户读取和访问来自特定组织的版本。
推荐阅读
- python - 按最高元素对数组字典进行排序
- python - 当我运行我的 python 代码时,我的 tkinter 窗口不会响应
- css - CSS选择器:有没有办法选择除第一个元素之外的所有后代?
- java - 将零移动到数组的中间?
- c# - 试图统一平滑生成的网格
- android - Android NDK JNI 构建错误:未定义对“function_name”的引用
- android - 知道为什么 Gradle Build 运行时间过长(特别是在 crashlytics 上)吗?
- excel - 如何使用 vba 监控工作表中的形状选择?
- twitter-bootstrap - 无法在引导程序中应用面板类
- vim - 带有 vim Plug 的 Vim Prettier