建设标准网站,做网站售后几年,电子商务网站建设的实训心得,wordpress模版 区块链OpenAtom OpenHarmony 三方库#xff08;以下简称“三方库”或“包”#xff09;#xff0c;是经过验证可在 OpenHarmony 系统上可重复使用的软件组件#xff0c;可帮助开发者快速开发 OpenHarmony 应用。三方库根据其开发语言分为 2 种#xff0c;一种是使用 JavaScript …OpenAtom OpenHarmony 三方库以下简称“三方库”或“包”是经过验证可在 OpenHarmony 系统上可重复使用的软件组件可帮助开发者快速开发 OpenHarmony 应用。三方库根据其开发语言分为 2 种一种是使用 JavaScript 和 TypeScript 语言的三方库通常以源码或 OpenHarmony HAR/HSP 的方式引入在应用开发中使用。另一种是 C 和 C语言的三方库通常在应用开发中通过 N-API 暴露 JS 接口的方式使用或直接编译在 OpenHarmony 操作系统镜像中。
鼓励开发者通过 OpenHarmony 三方库中心仓地址为ohpm.openharmony.cn/以下简称“OHPM平… 来分享自己的三方库无论是否已经开源能让更多的开发者免费使用 繁荣 OpenHarmony 应用生态。本文将具体介绍三方库的发布与安全隐私检测。
一、创建及发布三方库
1.1 创建三方库
创建 OpenHarmony 三方库支持通过 DevEco Studio以下简称 IDE界面创建和 OHPM 命令行创建两种方式。
方法 1通过 IDE 界面创建
在应用工程中新创建 Module选择Static Library模板创建完成后完善 oh-package.json5 的信息其中名称、版本等信息根据实际情况填写。 方法 2通过 OHPM 命令行创建
OHPM 命令行创建可通过三方中心仓指导文档操作
1.2 编译打包 HAR/HSP
开发完库模块后选中模块名然后通过 DevEco Studio 菜单栏的 Build Make Module ${libraryName}进行编译构建生成 HAR/HSP。HAR/HSP 可用于工程其它模块的引用或将 HAR/HSP 上传至 OHPM 平台供其他开发者下载使用。若部分源码文件不需要打包至 HAR/HSP 中可通过创建.ohpmignore 文件配置打包时要忽略的文件/文件夹。
1.3 发布三方库
一敏感信息自检
将敏感信息发布到本平台可能会损害您的用户、危及您的开发基础架构、造成高昂的修复成本并使您面临法律诉讼的风险。我们强烈建议在将三方库发布到本平台之前删除敏感信息例如私钥、密码、个人信息和信用卡数据等。
二OHPM 公钥配置
OpenHarmony 三方库中心仓 和 ohpm-cli 命令行工具的通信(查询、下载、发布)需要建立可信的安全通道可以按如下步骤进行配置 OHPM 公钥。
在进行 publish 发布前请先确保在 OpenHarmony 三方库中心仓上已经创建了帐号且利用工具 ssh-keygen 生成公、私钥文件可执行以下命令
ssh-keygen -m PEM -t RSA -b 4096 -f ~/.ssh_ohpm/mykey
说明 ~/.ssh_ohpm/mykey 为私钥文件 mykey 的文件路径按照实际情况指定。指定的私钥存储目录必须存在。追加了.pub 后缀的相应公钥文件会在与私钥相同的目录中生成。
注意OHPM 包管理器只支持加密密钥认证请在生成公私钥时输入密码。
请将公钥上传至 OpenHarmony 三方库中心仓【个人中心】-【认证管理】下点击页面左上角的“新增”按钮并将公钥文件mykey.pub的内容粘贴到公钥输入框中。 请将对应私钥文件路径配置到.ohpmrc 文件中 key_path 字段上可执行以下命令进行配置
ohpm config set key_path ~/.ssh_ohpm/mykey
最后登录本平台从【个人中心】页面中【复制发布码】并配置到.ohpmrc 文件中 publish_id 字段上可执行如下命令
ohpm config set publish_id your_publish_id
三发布
执行如下命令发布 HARHAR 路径请指定为待发布 HAR 的具体路径
ohpm publish HAR 路径
publish 命令其他使用方法及相关规则请参阅 ohpm publish 常用命令章节。
发布成功之后本平台将会给您的账号发送“创建上架审核单成功”通知您可登录本平台进入个人中心界面关注【消息】通知。 四等待审核
审核通过之后将会给您的账号发送“审核通过”通知您可登录本平台个人中心管理界面关注【个人中心】-【消息】通知。
上架审核通过通知消息示例 五管理已发布的三方库
登录本平台在【个人中心】-【Package】管理界面查看已发布的三方库审核、上下架状态。 二、三方库安全隐私检测
安全是 OHPM 平台的核心原则之一为此我们将基于 OHPM 平台行为准则对您的账号及使用该账号提交上架审核的内容。三方库审核流程主要包括自动化工具扫描和人工审核对三方库进行监测和分析以识别可能存在的恶意行为。 图 1 三方库审核流程
2.1 工具扫描
其中工具扫描包括完整性检查与安全性检查两部分。完整性检查将基于创建三方库的具体要求进行三方库目录、内容审核如果您提交的三方库缺少必要性文件三方库将被退回请您根据提示完善三方库内容后再次提交上架审核安全性检查将结合目前已有的安全检测工具对三方库进行定期检测。支持的风险类型包括
安全漏洞检测
安全漏洞检测工具可以对三方库进行实时漏洞检测并融合网络环境、威胁情报、漏洞影响、poc、时间因子、CVSS 评分等多个风险评估因子对漏洞进行风险评估以便及时对高危漏洞进行处理或修复确保尽快实现漏洞的发现、修复及验证工作。
恶意软件检测
安全检测工具利用恶意性聚类、深层关联关系挖掘的手段针对特种木马及恶意程序进行检查分析可以检测多种样本类型能识别出伪装成图片或其他正常文件的木马以及各种恶意软件包。然后利用依赖检测分析发现项目、软件依赖关系帮助企业发现使用的开源包开源库的依赖项以及当前存在的已知安全漏洞提高三方库的透明度和安全性。如果发现安全隐患三方库将被退回并提示审核不通过的原因
其他安全扫描
除以上两种安全检测三方包在上架前必须经过以下几个维度扫描
1敏感函数的调用通过构建所有潜在的调用栈分析程序的敏感行为。
2权限滥用包含敏感权限高风险权限的声明声明未使用或者使用未声明。
3存在风险的网络连接包括 URLIP 检测。
4数据跨境的检查跨境分级规避法律风险。
5内容的合规比如内嵌图片文字是否存在黄赌毒涉政涉敏等。
6个人数据的搜集围绕工信部定义的个人数据列表进行分析处理。
7污点分析通过污点分析技术得出个人数据是否存在被发送出去的可能。
8SDK 侦测源码级别和配置文件级别的 SCA。
9关联启动和常驻行为检测非用户主动发起的关联启动行为或者退出进程常驻行为。
2.2 人工复审
人工复审会对提交的三方库进行功能性测试如果三方库没有真正的功能实现或其功能无法在 OpenHarmony 上验证将被视为无效三方库三方库将被退回并提示审核不通过的原因。
为了能让大家更好的学习鸿蒙 (Harmony OS) 开发技术这边特意整理了《鸿蒙 (Harmony OS)开发学习手册》共计890页希望对大家有所帮助https://qr21.cn/FV7h05
《鸿蒙 (Harmony OS)开发学习手册》
入门必看https://qr21.cn/FV7h05
应用开发导读(ArkTS)应用开发导读(Java) HarmonyOS 概念https://qr21.cn/FV7h05
系统定义技术架构技术特性系统安全 如何快速入门https://qr21.cn/FV7h05
基本概念构建第一个ArkTS应用构建第一个JS应用…… 开发基础知识https://qr21.cn/FV7h05
应用基础知识配置文件应用数据管理应用安全管理应用隐私保护三方应用调用管控机制资源分类与访问学习ArkTS语言…… 基于ArkTS 开发https://qr21.cn/FV7h05
Ability开发UI开发公共事件与通知窗口管理媒体安全网络与链接电话服务数据管理后台任务(Background Task)管理设备管理设备使用信息统计DFX国际化开发折叠屏系列……
