90 款 APP 被下架，电脑端软件开发也需注意这些事

来源：GDCA数安时代 发布时间：2021-10-23浏览：2032次

近期，工信部通报下架的侵犯权益的APP中，大多数都是因为违规收集个人信息。
我们姑且不论这些APP的违规行为是有意还是无意的，但从这次事件中我们可以看出国家对个人信息安全的重视。所谓兔死狐悲，物伤其类，有了这次“杀鸡儆猴”的例子，电脑软件开发者也应该从中吸取教训：端正立场，不做违规的事；防止软件代码被黑客恶意篡改或植入病毒，不做背锅侠。
也许您会说，我是身正不怕影子斜，但架不住小人（黑客）的暗害啊，毕竟在这个互联网技术飞速发展的时代，有很多让我们防不胜防的隐患存在。
是的，不排除有这种可能，而且像这类软件代码被黑客篡改或是被植入病毒的事件在近几年也是层出不穷。在这里，我们不得不谈谈代码签名证书的重要性了。
什么是代码签名证书？
代码签名证书申请适合软件开发者对其开发的软件，可执行脚本、代码和内容进行签名来标识软件来源以及软件开发者的真实身份。消除软件安装时弹出的不安全警告。防止恶意篡改，以及提升企业形象。
代码签名证书的原理
代码签名的基础是PKI安全体系。代码签名证书由签名证书私钥和公钥证书两部分组成。私钥用于代码的签名，公钥用于私钥签名的验证和证书持有者的身份识别。
发布者从CA机构（WoSign）申请数字证书；
发布者开发出代码；借助代码签名工具，发布者将使用MD5或SHA算法产生代码的哈希值，然后用代码签名证书私钥对该哈希值签名，从而产生一个包含代码签名和软件发布者的签名证书的软件包；
用户的运行环境访问到该软件包，并检验软件发布者的代码签名数字证书的有效性。由于沃通CA根证书的公钥已经嵌入到用户的运行环境的可信根证书库，所以运行环境可验证发布者代码签名数字证书的真实性；
用户的运行环境使用代码签名数字证书中含有的公钥解密被签名的哈希值；
用户的运行环境使用同样的算法新产生一个原代码的哈希值；
用户的运行环境比较两个哈希值。如果相同，将发出通知声明代码已验证通过。所以用户可以相信该代码确实由证书拥有者发布，并且未经篡改。