OpenAtom OpenHarmony三方库创建发布及安全隐私检测

这篇具有很好参考价值的文章主要介绍了OpenAtom OpenHarmony三方库创建发布及安全隐私检测。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

OpenAtom OpenHarmony三方库(以下简称“三方库”或“包”),是经过验证可在OpenHarmony系统上可重复使用的软件组件,可帮助开发者快速开发OpenHarmony应用。三方库根据其开发语言分为2种,一种是使用JavaScript和TypeScript语言的三方库,通常以源码或OpenHarmony HAR/HSP的方式引入,在应用开发中使用。另一种是C和C++语言的三方库,通常在应用开发中通过N-API暴露JS接口的方式使用,或直接编译在OpenHarmony操作系统镜像中。  

鼓励开发者通过OpenHarmony三方库中心仓(地址为:https://ohpm.openharmony.cn/,以下简称“OHPM平台”或“本平台”)来分享自己的三方库(无论是否已经开源),能让更多的开发者免费使用繁荣OpenHarmony应用生态。本文将具体介绍三方库的发布与安全隐私检测。

一、创建及发布三方库

1.1 创建三方库

创建OpenHarmony三方库,支持通过DevEco Studio(以下简称IDE)界面创建和OHPM命令行创建两种方式。

方法1:通过IDE界面创建

在应用工程中,新创建Module,选择"Static Library"模板,创建完成后,完善oh-package.json5的信息,其中名称、版本等信息根据实际情况填写。

 

下载ohpm工具包,安全,OpenHarmony

方法2:通过OHPM命令行创建

OHPM命令行创建,可通过三方中心仓指导文档操作,链接地址:https://ohpm.openharmony.cn/#/cn/help/createfile

1.2 编译打包HAR/HSP

开发完库模块后,选中模块名,然后通过DevEco Studio菜单栏的Build > Make Module ${libraryName}进行编译构建,生成HAR/HSP。HAR/HSP可用于工程其它模块的引用,或将HAR/HSP上传至OHPM平台,供其他开发者下载使用。若部分源码文件不需要打包至HAR/HSP中,可通过创建.ohpmignore文件,配置打包时要忽略的文件/文件夹。

1.3 发布三方库

(一)敏感信息自检

将敏感信息发布到本平台可能会损害您的用户、危及您的开发基础架构、造成高昂的修复成本,并使您面临法律诉讼的风险。我们强烈建议在将三方库发布到本平台之前,删除敏感信息,例如私钥、密码、个人信息和信用卡数据等。

(二)OHPM公钥配置

OpenHarmony 三方库中心仓 和 ohpm-cli 命令行工具的通信(查询、下载、发布),需要建立可信的安全通道,可以按如下步骤进行配置 OHPM 公钥。

1. 在进行 publish 发布前,请先确保在OpenHarmony三方库中心仓上已经创建了帐号,且利用工具 ssh-keygen 生成公、私钥文件,可执行以下命令:

ssh-keygen -m PEM -t RSA -b 4096 -f ~/.ssh_ohpm/mykey

说明: ~/.ssh_ohpm/mykey 为私钥文件mykey的文件路径,按照实际情况指定。指定的私钥存储目录必须存在。追加了.pub后缀的相应公钥文件会在与私钥相同的目录中生成。

注意:OHPM包管理器只支持加密密钥认证,请在生成公私钥时输入密码。

2. 请将公钥上传至OpenHarmony三方库中心仓【个人中心】-【认证管理】下:点击页面左上角的“新增”按钮,并将公钥文件(mykey.pub)的内容粘贴到公钥输入框中。

 

下载ohpm工具包,安全,OpenHarmony

3. 请将对应私钥文件路径配置到 .ohpmrc 文件中 key_path 字段上,可执行以下命令进行配置:

ohpm config set key_path ~/.ssh_ohpm/mykey

最后登录本平台,从 【个人中心】页面中【复制发布码】,并配置到 .ohpmrc 文件中 publish_id 字段上,可执行如下命令:

ohpm config set publish_id your_publish_id

(三)发布

执行如下命令发布HAR,<HAR路径>请指定为待发布HAR的具体路径

ohpm publish <HAR路径>

publish 命令其他使用方法及相关规则,请参阅 ohpm publish 常用命令章节。

发布成功之后,本平台将会给您的账号发送“创建上架审核单成功”通知,您可登录本平台,进入个人中心界面,关注【消息】通知。

 

下载ohpm工具包,安全,OpenHarmony

(四)等待审核

审核通过之后将会给您的账号发送 “审核通过”通知,您可登录本平台个人中心管理界面,关注【个人中心】-【消息】通知。

上架审核通过通知消息示例:

 

下载ohpm工具包,安全,OpenHarmony

(五)管理已发布的三方库

登录本平台,在【个人中心】-【Package】管理界面,查看已发布的三方库审核、上下架状态。

 

下载ohpm工具包,安全,OpenHarmony

二、三方库安全隐私检测

安全是OHPM平台的核心原则之一,为此,我们将基于OHPM平台行为准则对您的账号及使用该账号提交上架审核的内容。三方库审核流程主要包括自动化工具扫描和人工审核,对三方库进行监测和分析,以识别可能存在的恶意行为。

下载ohpm工具包,安全,OpenHarmony

图1 三方库审核流程

2.1 工具扫描

其中,工具扫描包括完整性检查与安全性检查两部分。完整性检查将基于创建三方库的具体要求进行三方库目录、内容审核,如果您提交的三方库缺少必要性文件,三方库将被退回,请您根据提示完善三方库内容后再次提交上架审核;安全性检查将结合目前已有的安全检测工具,对三方库进行定期检测。支持的风险类型包括:

1. 安全漏洞检测

安全漏洞检测工具可以对三方库进行实时漏洞检测,并融合网络环境、威胁情报、漏洞影响、poc、时间因子、CVSS评分等多个风险评估因子对漏洞进行风险评估,以便及时对高危漏洞进行处理或修复,确保尽快实现漏洞的发现、修复及验证工作。

2. 恶意软件检测

安全检测工具利用恶意性聚类、深层关联关系挖掘的手段,针对特种木马及恶意程序进行检查分析,可以检测多种样本类型,能识别出伪装成图片或其他正常文件的木马,以及各种恶意软件包。然后利用依赖检测分析发现项目、软件依赖关系,帮助企业发现使用的开源包(开源库)的依赖项,以及当前存在的已知安全漏洞,提高三方库的透明度和安全性。如果发现安全隐患,三方库将被退回,并提示审核不通过的原因;

3.  其他安全扫描

除以上两种安全检测,三方包在上架前必须经过以下几个维度扫描:

(1)敏感函数的调用:通过构建所有潜在的调用栈,分析程序的敏感行为。

    (2)权限滥用:包含敏感权限,高风险权限的声明,声明未使用,或者使用未声明。

    (3)存在风险的网络连接:包括URL,IP检测。

    (4)数据跨境的检查:跨境分级,规避法律风险。

    (5)内容的合规:比如内嵌图片,文字是否存在黄赌毒,涉政,涉敏等。

    (6)个人数据的搜集:围绕工信部定义的个人数据列表,进行分析处理。

    (7)污点分析:通过污点分析技术,得出个人数据是否存在被发送出去的可能。

    (8)SDK侦测:源码级别和配置文件级别的SCA。

(9)关联启动和常驻行为:检测非用户主动发起的关联启动行为,或者退出进程常驻行为。

2.2 人工复审

人工复审会对提交的三方库进行功能性测试,如果三方库没有真正的功能实现或其功能无法在OpenHarmony上验证,将被视为无效三方库,三方库将被退回,并提示审核不通过的原因。

更多信息请参考:https://ohpm.openharmony.cn/#/cn/help/introduction

文章来源地址https://www.toymoban.com/news/detail-774176.html

到了这里,关于OpenAtom OpenHarmony三方库创建发布及安全隐私检测的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全开发-JS应用&NodeJS指南&原型链污染&Express框架&功能实现&审计&WebPack打包器&第三方库JQuery&安装使用&安全检测

    Node.js是运行在服务端的JavaScript 文档参考:https://www.w3cschool.cn/nodejs/ Nodejs安装:https://nodejs.org/en 三方库安装 express:Express是一个简洁而灵活的node.js Web应用框架 body-parser:node.js中间件,用于处理 JSON, Raw, Text和URL编码的数据。 cookie-parser:这就是一个解析Cookie的工具。通过re

    2024年02月11日
    浏览(61)
  • 蚂蚁集团发布AI安全检测平台“蚁鉴2.0”,可实现用生成式能力检测生成式模型

    7月 7日, 2023世界人工智能大会( WAIC ) “ 聚焦·大模型时代AIGC新浪潮 — 可信 AI ”论坛 举行, 蚂蚁集团 联合清华大学 发布 AI安全检测平台“蚁鉴2.0”。 蚁鉴 2.0 可实现用生成式 AI能力检测生成式AI模型,可 识别 数据安全、内容安全、科技伦理三大类的数百种风险, 覆盖

    2024年02月15日
    浏览(43)
  • openHarmony4.0Release-riscv64荔枝派版本新增glmark2三方库

    如题,需要在openHarmony4.0Release-riscv64荔枝派版本的third_party目录下增加glmark2。 由于其他同事已经在别的环境上完成代码适配,可以直接拿过来用。 https://gitee.com/wawanala/glmark2-es2 在third_party目录下直接git clone下载后解压即可。 参考https://www.51cto.com/article/745922.html 文件增加以下内

    2024年04月12日
    浏览(31)
  • OpenHarmony 4.1计划明年Q1发布, 5.0预计Q3发布

    据HarmonyOS官方组织透露,OpenHarmony 4.0 版本已于 10 月 26 日正式发布,开发套件同步升级到 API 10。开放原子开源基金会现更新了 OpenHarmony 4.15.0 版本路线图。据介绍,OpenHarmony 4.1 Beta 版本预计将于年底完成测试并发布,而 Release 发行版预计会在明年第一季度发布,而 OpenHarmony

    2024年02月05日
    浏览(41)
  • OpenHarmony生态如何建?北航牵头发布《面向OpenHarmony的软件工程研究路线图》

    CODEWISDOM 2023年10月26日,OpenHarmony的4.0版本正式上线,引发了用户,开发者和学术圈广泛讨论。作为新兴的移动端平台,OpenHarmony以其突破性的创新频频“出圈”,至今已经走过三载春秋。以史为鉴,可以知兴替。为了更好地了解OpenHarmony平台的特点和优势,现有移动平台的不足

    2024年01月17日
    浏览(47)
  • OpenHarmony 4.1 Beta1发布【坚果派-坚果】

    作者:坚果 团队:坚果派 公众号:“大前端之旅” 团队介绍:坚果派由坚果创建,团队拥有8个华为HDE,3个HSD,以及若干其他领域的三十余位万粉博主运营。 本人为华为HDE、中国计算机学会CCF专业会员、OpenHarmony布道师、开发者联盟优秀讲师、2023年开源之夏导师、2023年Op

    2024年02月02日
    浏览(40)
  • OpenHarmony 4.0 Beta2新版本发布,邀您体验

    2023年8月3日,OpenAtom OpenHarmony(简称“OpenHarmony”)发布了Beta2版本,相较于历史版本我们持续完善ArkUI、文件管理、媒体、窗口、安全等系统能力、提升体验。欢迎开发者了解并升级使用,积极反馈宝贵建议、参与贡献,共同促进4.0版本的成熟。 为了方便社区开发者了解新版

    2024年02月09日
    浏览(39)
  • 未来已来,OpenHarmony 3.2 Release发布,迈入发展新阶段

    目录 OpenHarmony 3.2 Release为开发者带来了什么 ArkUI 组件能力增强 UI界面开发支持一次开发适配多屏幕规格 应用框架 应用包管理 分布式技术 分布式软总线 分布式硬件 分布式数据管理 媒体 音频 播放 相机 图片 程序访问控制 ArkCompiler 语言特性增强 编译器运行时功能 语言基础库

    2024年02月13日
    浏览(51)
  • HarmonyOS 鸿蒙开发DevEco Studio OpenHarmony:创建OpenHarmony工程

    目录 创建和配置新工程 将原子化服务工程改为应用工程 当开始开发一个OpenHarmony应用/服务时,首先需要根据工程创建向导,创建一个新的工程,工具会自动生成对应的代码和资源模板。 说明 在运行DevEco Studio工程时,建议每一个运行窗口有2GB以上的可用内存空间。 通过如下

    2024年01月25日
    浏览(60)
  • 【规范】小程序发布,『小程序隐私保护指引』填写指南

    🍊缘由 『小程序隐私保护指引』小程序发布,每次都躲不开! 🏀事情起因: 最近在帮朋友弄一个小项目, uniapp+unicloud壁纸小程序 。虽然之前做过不少小程序,但是每次发布正式版本时都有一步『 小程序隐私保护指引 』需要填写,每次填每次忘。这次秉承 好记性不如烂笔

    2024年04月09日
    浏览(89)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包