¿Te está entregando la clave privada del certificado de iPhone?

Question

La empresa para la que trabajo ha subcontratado el desarrollo de una aplicación para iPhone a otra compañía. Quieren que el binario se firme con nuestro certificado para su distribución, pero me han pedido que pase la clave privada (certificates.p12) utilizada para crear nuestro certificado en la otra compañía. Estoy extremadamente preocupado por la posibilidad de firmar aplicaciones como nosotros a otra empresa.

¿Cómo puedo convencer a mi jefe de que esta es una muy mala idea? ¿Qué soluciones alternativas puedo sugerirle? Ya le pedí que obtenga la fuente de ellos para que podamos firmarla y enviarla nosotros mismos, pero sin la capacidad de afirmar de manera concluyente que darles el certificado es una mala idea, estoy un poco atrapado en el "solo míralo para yo "limbo"

Answer 1

No necesita la fuente. Solo necesita el binario compilado (asegúrese de que sea ARM, no x86) para firmar con codesign.

Answer 2

La empresa subcontratista puede simplemente crear y firmar la aplicación con su propio certificado. A continuación, puede resignar la aplicación con el certificado de su empresa antes de enviarla (utilice el signo de código). No hay mucho que un consultor pueda hacer con la clave privada de un certificado de distribución de App Store pero sin las credenciales de inicio de sesión de iTunes del agente del equipo, ya que el equipo de revisión de Apple es el único que puede ejecutar una aplicación certificado, y no puede enviar una aplicación a iTunes Connect sin el inicio de sesión que coincida con el certificado (AFAIK).