90 款 APP 被下架，電腦端軟件開發也需注意這些事

來源：GDCA數安時代 發布時間：2021-10-23瀏覽：3282次

近期，工信部通報下架的侵犯權益的APP中，大多數都是因為違規收集個人信息。
我們姑且不論這些APP的違規行為是有意還是無意的，但從這次事件中我們可以看出國家對個人信息安全的重視。所謂兔死狐悲，物傷其類，有了這次“殺雞儆猴”的例子，電腦軟件開發者也應該從中吸取教訓：端正立場，不做違規的事；防止軟件代碼被黑客惡意篡改或植入病毒，不做背鍋俠。
也許您會說，我是身正不怕影子斜，但架不住小人（黑客）的暗害啊，畢竟在這個互聯網技術飛速發展的時代，有很多讓我們防不勝防的隱患存在。
是的，不排除有這種可能，而且像這類軟件代碼被黑客篡改或是被植入病毒的事件在近幾年也是層出不窮。在這里，我們不得不談談代碼簽名證書的重要性了。
什么是代碼簽名證書？
代碼簽名證書申請適合軟件開發者對其開發的軟件，可執行腳本、代碼和內容進行簽名來標識軟件來源以及軟件開發者的真實身份。消除軟件安裝時彈出的不安全警告。防止惡意篡改，以及提升企業形象。
代碼簽名證書的原理
代碼簽名的基礎是PKI安全體系。代碼簽名證書由簽名證書私鑰和公鑰證書兩部分組成。私鑰用于代碼的簽名，公鑰用于私鑰簽名的驗證和證書持有者的身份識別。
發布者從CA機構（WoSign）申請數字證書；
發布者開發出代碼；借助代碼簽名工具，發布者將使用MD5或SHA算法產生代碼的哈希值，然后用代碼簽名證書私鑰對該哈希值簽名，從而產生一個包含代碼簽名和軟件發布者的簽名證書的軟件包；
用戶的運行環境訪問到該軟件包，并檢驗軟件發布者的代碼簽名數字證書的有效性。由于沃通CA根證書的公鑰已經嵌入到用戶的運行環境的可信根證書庫，所以運行環境可驗證發布者代碼簽名數字證書的真實性；
用戶的運行環境使用代碼簽名數字證書中含有的公鑰解密被簽名的哈希值；
用戶的運行環境使用同樣的算法新產生一個原代碼的哈希值；
用戶的運行環境比較兩個哈希值。如果相同，將發出通知聲明代碼已驗證通過。所以用戶可以相信該代碼確實由證書擁有者發布，并且未經篡改。