OpenAtom?OpenHarmony三方庫（以下簡稱“三方庫”或“包”），是經(jīng)過驗(yàn)證可在OpenHarmony系統(tǒng)上可重復(fù)使用的軟件組件，可幫助開發(fā)者快速開發(fā)OpenHarmony應(yīng)用。三方庫根據(jù)其開發(fā)語言分為2種，一種是使用JavaScript和TypeScript語言的三方庫，通常以源碼或OpenHarmony?HAR/HSP的方式引入，在應(yīng)用開發(fā)中使用。另一種是C和C++語言的三方庫，通常在應(yīng)用開發(fā)中通過N-API暴露JS接口的方式使用，或直接編譯在OpenHarmony操作系統(tǒng)鏡像中。??

鼓勵(lì)開發(fā)者通過OpenHarmony三方庫中心倉（地址為：https://ohpm.openharmony.cn/，以下簡稱“OHPM平臺”或“本平臺”）來分享自己的三方庫（無論是否已經(jīng)開源），能讓更多的開發(fā)者免費(fèi)使用，繁榮OpenHarmony應(yīng)用生態(tài)。本文將具體介紹三方庫的發(fā)布與安全隱私檢測。

一、創(chuàng)建及發(fā)布三方庫

1.1?創(chuàng)建三方庫

創(chuàng)建OpenHarmony三方庫，支持通過DevEco?Studio（以下簡稱IDE）界面創(chuàng)建和OHPM命令行創(chuàng)建兩種方式。

方法1：通過IDE界面創(chuàng)建

在應(yīng)用工程中，新創(chuàng)建Module，選擇"Static?Library"模板，創(chuàng)建完成后，完善oh-package.json5的信息，其中名稱、版本等信息根據(jù)實(shí)際情況填寫。

?

方法2：通過OHPM命令行創(chuàng)建

OHPM命令行創(chuàng)建，可通過三方中心倉指導(dǎo)文檔操作，鏈接地址：https://ohpm.openharmony.cn/#/cn/help/createfile

1.2?編譯打包HAR/HSP

開發(fā)完庫模塊后，選中模塊名，然后通過DevEco?Studio菜單欄的Build?>?Make?Module?${libraryName}進(jìn)行編譯構(gòu)建，生成HAR/HSP。HAR/HSP可用于工程其它模塊的引用，或?qū)AR/HSP上傳至OHPM平臺，供其他開發(fā)者下載使用。若部分源碼文件不需要打包至HAR/HSP中，可通過創(chuàng)建.ohpmignore文件，配置打包時(shí)要忽略的文件/文件夾。

1.3?發(fā)布三方庫

（一）敏感信息自檢

將敏感信息發(fā)布到本平臺可能會損害您的用戶、危及您的開發(fā)基礎(chǔ)架構(gòu)、造成高昂的修復(fù)成本，并使您面臨法律訴訟的風(fēng)險(xiǎn)。我們強(qiáng)烈建議在將三方庫發(fā)布到本平臺之前，刪除敏感信息，例如私鑰、密碼、個(gè)人信息和信用卡數(shù)據(jù)等。

（二）OHPM公鑰配置

OpenHarmony?三方庫中心倉 和?ohpm-cli?命令行工具的通信(查詢、下載、發(fā)布)，需要建立可信的安全通道，可以按如下步驟進(jìn)行配置?OHPM?公鑰。

1.?在進(jìn)行?publish?發(fā)布前，請先確保在OpenHarmony三方庫中心倉上已經(jīng)創(chuàng)建了帳號，且利用工具?ssh-keygen?生成公、私鑰文件，可執(zhí)行以下命令：

ssh-keygen -m PEM -t RSA -b 4096 -f ~/.ssh_ohpm/mykey

說明：?~/.ssh_ohpm/mykey?為私鑰文件mykey的文件路徑，按照實(shí)際情況指定。指定的私鑰存儲目錄必須存在。追加了.pub后綴的相應(yīng)公鑰文件會在與私鑰相同的目錄中生成。

注意：OHPM包管理器只支持加密密鑰認(rèn)證，請?jiān)谏晒借€時(shí)輸入密碼。

2.?請將公鑰上傳至OpenHarmony三方庫中心倉【個(gè)人中心】-【認(rèn)證管理】下：點(diǎn)擊頁面左上角的“新增”按鈕，并將公鑰文件（mykey.pub）的內(nèi)容粘貼到公鑰輸入框中。

?

3.?請將對應(yīng)私鑰文件路徑配置到?.ohpmrc?文件中?key_path?字段上，可執(zhí)行以下命令進(jìn)行配置：

ohpm config set key_path ~/.ssh_ohpm/mykey

最后登錄本平臺，從?【個(gè)人中心】頁面中【復(fù)制發(fā)布碼】，并配置到?.ohpmrc?文件中?publish_id?字段上，可執(zhí)行如下命令：

ohpm config set publish_id your_publish_id

（三）發(fā)布

執(zhí)行如下命令發(fā)布HAR，<HAR路徑>請指定為待發(fā)布HAR的具體路徑

ohpm publish <HAR路徑>

publish?命令其他使用方法及相關(guān)規(guī)則，請參閱?ohpm?publish?常用命令章節(jié)。

發(fā)布成功之后，本平臺將會給您的賬號發(fā)送“創(chuàng)建上架審核單成功”通知，您可登錄本平臺，進(jìn)入個(gè)人中心界面，關(guān)注【消息】通知。

?

（四）等待審核

審核通過之后將會給您的賬號發(fā)送?“審核通過”通知，您可登錄本平臺個(gè)人中心管理界面，關(guān)注【個(gè)人中心】-【消息】通知。

上架審核通過通知消息示例：

?

（五）管理已發(fā)布的三方庫

登錄本平臺，在【個(gè)人中心】-【Package】管理界面，查看已發(fā)布的三方庫審核、上下架狀態(tài)。

?

二、三方庫安全隱私檢測

安全是OHPM平臺的核心原則之一，為此，我們將基于OHPM平臺行為準(zhǔn)則對您的賬號及使用該賬號提交上架審核的內(nèi)容。三方庫審核流程主要包括自動(dòng)化工具掃描和人工審核，對三方庫進(jìn)行監(jiān)測和分析，以識別可能存在的惡意行為。

圖1?三方庫審核流程

2.1?工具掃描

其中，工具掃描包括完整性檢查與安全性檢查兩部分。完整性檢查將基于創(chuàng)建三方庫的具體要求進(jìn)行三方庫目錄、內(nèi)容審核，如果您提交的三方庫缺少必要性文件，三方庫將被退回，請您根據(jù)提示完善三方庫內(nèi)容后再次提交上架審核；安全性檢查將結(jié)合目前已有的安全檢測工具，對三方庫進(jìn)行定期檢測。支持的風(fēng)險(xiǎn)類型包括：

1.?安全漏洞檢測

安全漏洞檢測工具可以對三方庫進(jìn)行實(shí)時(shí)漏洞檢測，并融合網(wǎng)絡(luò)環(huán)境、威脅情報(bào)、漏洞影響、poc、時(shí)間因子、CVSS評分等多個(gè)風(fēng)險(xiǎn)評估因子對漏洞進(jìn)行風(fēng)險(xiǎn)評估，以便及時(shí)對高危漏洞進(jìn)行處理或修復(fù)，確保盡快實(shí)現(xiàn)漏洞的發(fā)現(xiàn)、修復(fù)及驗(yàn)證工作。

2.?惡意軟件檢測

安全檢測工具利用惡意性聚類、深層關(guān)聯(lián)關(guān)系挖掘的手段，針對特種木馬及惡意程序進(jìn)行檢查分析，可以檢測多種樣本類型，能識別出偽裝成圖片或其他正常文件的木馬，以及各種惡意軟件包。然后利用依賴檢測分析發(fā)現(xiàn)項(xiàng)目、軟件依賴關(guān)系，幫助企業(yè)發(fā)現(xiàn)使用的開源包（開源庫）的依賴項(xiàng)，以及當(dāng)前存在的已知安全漏洞，提高三方庫的透明度和安全性。如果發(fā)現(xiàn)安全隱患，三方庫將被退回，并提示審核不通過的原因；

3. ?其他安全掃描

除以上兩種安全檢測，三方包在上架前必須經(jīng)過以下幾個(gè)維度掃描：

（1）敏感函數(shù)的調(diào)用：通過構(gòu)建所有潛在的調(diào)用棧，分析程序的敏感行為。

????（2）權(quán)限濫用：包含敏感權(quán)限，高風(fēng)險(xiǎn)權(quán)限的聲明，聲明未使用，或者使用未聲明。

????（3）存在風(fēng)險(xiǎn)的網(wǎng)絡(luò)連接：包括URL，IP檢測。

????（4）數(shù)據(jù)跨境的檢查：跨境分級，規(guī)避法律風(fēng)險(xiǎn)。

????（5）內(nèi)容的合規(guī)：比如內(nèi)嵌圖片，文字是否存在黃賭毒，涉政，涉敏等。

????（6）個(gè)人數(shù)據(jù)的搜集：圍繞工信部定義的個(gè)人數(shù)據(jù)列表，進(jìn)行分析處理。

????（7）污點(diǎn)分析：通過污點(diǎn)分析技術(shù)，得出個(gè)人數(shù)據(jù)是否存在被發(fā)送出去的可能。

????（8）SDK偵測：源碼級別和配置文件級別的SCA。

（9）關(guān)聯(lián)啟動(dòng)和常駐行為：檢測非用戶主動(dòng)發(fā)起的關(guān)聯(lián)啟動(dòng)行為，或者退出進(jìn)程常駐行為。

2.2?人工復(fù)審

人工復(fù)審會對提交的三方庫進(jìn)行功能性測試，如果三方庫沒有真正的功能實(shí)現(xiàn)或其功能無法在OpenHarmony上驗(yàn)證，將被視為無效三方庫，三方庫將被退回，并提示審核不通過的原因。

更多信息請參考：https://ohpm.openharmony.cn/#/cn/help/introduction

?文章來源地址http://www.zghlxwxcb.cn/news/detail-774176.html

到了這里，關(guān)于OpenAtom OpenHarmony三方庫創(chuàng)建發(fā)布及安全隱私檢測的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！