Блог

Здравствуйте, я использую свой токен GitHub для обновления своего приложения из частного репозитория. Это работает нормально, мне просто интересно, безопасно ли это, особенно если я хочу, чтобы другие люди загрузили приложение, будет ли мой исходный код защищен от плохих игроков, которые могут попытаться вытащить мой исходный код с GitHub. Я использую электронное автоматическое обновление

Если вы встраиваете свой токен GitHub в двоичный файл, который вы распространяете, то нет, это небезопасно. Любой, кто получит доступ к приложению, может извлечь ваш токен и получить доступ к данным с любыми разрешениями, которые есть у вашего токена, а это, вероятно, все хранилища, к которым у вас есть доступ.

Если ваш репозиторий является частным, вероятно, нет безопасного способа получить из него код для автоматического обновления. Вам было бы лучше распространять программное обеспечение с использованием подписанных тарболлов (и подписанного манифеста) по протоколу HTTPS, с ключом, встроенным в ваш код. В качестве альтернативы, если вы работаете в Linux, вы можете предоставить пакеты для соответствующего менеджера пакетов, что также будет безопасно.