企业官网建设流程全解析

dw php网站开发书籍云盘,景安网站上传完还要怎么做,做网站好的品牌,淄博 网站建设概述代码混淆技术可以增加代码的复杂性和模糊性#xff0c;从而提高攻击者分析代码的难度。代码混淆有以下几个方面的作用#xff1a;1. 保护知识产权#xff1a;代码混淆防止他人轻易复制和窃取软件代码#xff0c;增加逆向工程难度。2. 防止逆向工程#xff1a;逆向工…概述代码混淆技术可以增加代码的复杂性和模糊性从而提高攻击者分析代码的难度。代码混淆有以下几个方面的作用1. 保护知识产权代码混淆防止他人轻易复制和窃取软件代码增加逆向工程难度。2. 防止逆向工程逆向工程是分析软件以了解其工作原理和实现细节的过程。代码混淆可增加逆向工程的难度保护应用程序免受恶意修改或破坏。3. 提高安全性代码混淆减少漏洞和安全风险增加攻击者利用漏洞的难度。4. 降低反盗版和欺诈风险混淆代码可增加攻击者破解软件许可验证系统或修改代码绕过付费机制的难度从而减少盗版和欺诈。针对工程源码的混淆提高破解难度缩短类和成员名称减小应用大小。混淆开启从DevEco Studio版本4.0 Beta1开始hvigor插件提供代码混淆功能。开启混淆的条件如下工程为Stage模型在Release编译模式下模块build-profile.json5文件中开启混淆配置注意“enable”默认为“false”默认不开启代码混淆功能。满足开启混淆的条件后选择目标模块点击 Build - Make Module 开始编译。如果工程或模块是Static Library则该工程或模块是一个HAR。构建HAR时有以下三种方式1. 以Debug模式构建HAR会直接打包源码不进行代码混淆。2. 以Release模式构建HAR会编译、混淆并压缩代码。3. 构建字节码格式的HAR。开启混淆时编译器会先对源码中间文件进行混淆再生成abc字节码。图1DevEco Studio选择release编译模式图2DevEco Studio指定模块编译混淆配置能力编译选项若按照上述编译流程开启代码混淆在 DevEco Studio 5.0.3.600 之前的版本默认仅混淆参数名和局部变量名。从 DevEco Studio 5.0.3.600 版本起默认启用四项推荐的混淆选项-enable-property-obfuscation、-enable-toplevel-obfuscation、-enable-filename-obfuscation 和 -enable-export-obfuscation。开发者可以根据需要进一步修改混淆配置。混淆配置在每个模块下都能找到 build-profile.json5 文件如下图所示。可以在此文件中配置是否开启混淆及混淆配置文件。图3编译配置文件新建工程时每个模块下都有 obfuscation-rules.txt 文件用于配置混淆。图4混淆配置文件在上图中obfuscation-rules.txt文件中添加了-enable-property-obfuscation和-enable-toplevel-obfuscation开关表示已启用属性混淆和顶层作用域名称混淆。DevEco Studio混淆现有选项及功能描述如下混淆自定义选项名称功能简述混淆选项-disable-obfuscation关闭混淆-enable-property-obfuscation属性混淆-enable-toplevel-obfuscation顶层作用域名称混淆-enable-filename-obfuscation文件名混淆-enable-export-obfuscationexport导出名称与属性混淆-compact代码压缩-remove-log删除console.*方法-print-namecache filepath指定路径输出namecache.json文件及内容-apply-namecache filepath复用指定的名称缓存文件-remove-comments删除注释保留选项-keep-property-name保留属性名-keep-global-name保留顶层作用域和导出元素的名称-keep-file-name保留指定的文件/文件夹的名称-keep-dts读取指定.d.ts文件中的名称作为白名单-keep-comments保留编译生成的声明文件中class, function, namespace, enum, struct, interface, module, type及属性上方的JsDoc注释-keep保留指定相对路径中的所有名称例如变量名、类名、属性名等通配符名称类和路径类的保留选项支持通配符混淆选项具体的使用方法和样例代码可以参考代码混淆混淆优化建议开发人员混淆工程时发现缓存文件或SDK中的文件中存在大量未混淆的源码名称。原因包括以下两类混淆选项开启较少开启-enable-property-obfuscation、-enable-toplevel-obfuscation、-enable-export-obfuscation、-enable-filename-obfuscation选项。源码名称与系统白名单、语言白名单重名添加后缀避开白名单。混淆规则合并策略在编译一个模块时生效的混淆规则是当前编译模块混淆规则和依赖模块混淆规则的合并结果。具体规则请参考混淆规则合并策略查看混淆结果开发人员在编译模块的build目录中可找到编译和混淆生成的缓存文件、名称映射表及系统API白名单文件。源码编译及混淆缓存文件目录build/\[…\]/release/模块名混淆名称映射表及系统API白名单目录build/\[…\]/release/obfuscation名称映射表文件nameCache.json记录源码名称映射。系统API白名单文件systemApiCache.json记录SDK接口与属性名称。图5DevEco Studio编译产物与缓存文件调试代码经过混淆工具处理后名称会发生更改这可能导致运行时崩溃堆栈日志难以理解因为堆栈与源代码不完全一致。如果未保留调试信息行号及名称更改将导致无法准确定位问题。此外启用-enable-property-obfuscation、-enable-toplevel-obfuscation等选项后代码混淆可能会引发运行时崩溃或功能性错误。开发人员需要还原报错堆栈排查并配置白名单以确保功能正常。函数调用栈还原经过混淆的应用程序中代码名称会发生更改因此报错栈与源码不完全一致crash时打印的报错栈会难以理解如何处理请参考报错栈还原反混淆工具hstackhstack需要将Node.js配置到环境变量中详细使用说明请参考hstack使用第三方加固在HarmonyOS提供的代码混淆能力之外开发者还可以使用第三方安全厂商提供的高级混淆和加固能力。多家安全加固厂商已经启动了HarmonyOS开发开发者可以根据需求选择这些安全厂商的服务。开发者需要与第三方安全厂商自行沟通合作方式和范围本文档不做详细说明。具体的官方与第三方代码混淆能力的关系如下特性特性描述HarmonyOS三方名称混淆混淆类、字段、属性、方法和文件名。√√控制混淆混淆方法内的控制流以防御自动或手动代码分析包括虚假控制流和控制流扁平化。×√指令替换通过将简单的算术和逻辑表达式转换为难以分析的代码来保护专有公式。×√数据混淆加密敏感字符串以防止通过尝试搜索的黑客攻击也用来加密类、 asset 文件、资源文件和 Native 库×√代码虚拟化转换方法实现为随机生成虚拟机的指令序列×√调用隐藏为访问敏感的 APIs 添加反射比如用于签名校验和密码操作的标准APIs×√移除日志代码移除 logging 、调试和测试代码以阻止任何利用此信息的企图×√由于HarmonyOS代码签名、应用加密等安全机制的限制以及应用市场上架审核的纯净安全要求三方加固厂商提供的安全加固内容必须满足以下六点要求1、不允许隐藏敏感系统API的调用审核人员必须能够清晰地看到应用的特性。2、不允许混淆非自研的SDK。SDK应由SDK厂商自行进行混淆保护。如果非自研SDK被混淆将会影响应用市场审核相关SDK的指纹信息。3、通过第三方安全加固的应用程序必须确保不包含恶意行为以免对生态系统造成影响。此要求为约束性条款不遵守可能导致应用被下架。4、不允许使用第三方虚拟机HarmonyOS系统通过代码签名等机制限制动态加载代码这可能导致应用无法正常运行。5、不允许对方舟字节码文件进行篡改此方法可能让应用无法正常运行以及影响应用市场对应用的纯净安全进行审核。6、不允许对系统库使用hook技术此方法影响应用市场对应用的纯净安全进行审核。