你的Gradle打包安全么

现在Android项目的构建几乎都使用Gradle，Gradle提供了命令行打包，通过执行任务的方式，操作起来很方便。

通常Gradle打包的方式

比如通常我们会如下这般处理：

signingConfigs{
    release{
        storeFile file("/xxx.jks")
        storePassword "111"
        keyAlias "demo"
        keyPassword "222"
    }
}

productFlavors {
    yingyongbao {
        //根据渠道需要配置参数
    }
}

这里我假设需要打应用宝的渠道包，在命令行窗口，或者直接在AS的Terminal窗口，进入到项目根目录，使用Gradle命令行打包：

./gradlew assembleYingyongbaoRelease 

如果团队里有人用了Window系统提交，第一次使用Mac系统提交，很可能会遇到Permission Denied问题，解决办法：我的上一篇博文当Window遇到Mac OS出现Permission Denied／Could not expand时

更安全Gradle打包的方式

上述方式打包是成功的，但是这里存在安全性问题：

1. 安全隐患一：签名文件jks默认放在模块目录里，连同代码一起提交到服务器上，如果团队使用第三方的提交后台，安全隐患明显
2. 安全隐患二:签名的密码，别名等内容直接暴露在build.gradle文件里

基于上述的考虑，下面是更安全的打包签名配置：

signingConfigs {
    release {
        storeFile file(RELEASE_SIGNING_FILE)
        storePassword RELEASE_STORE_PASSWORD
        keyAlias RELEASE_KEY_ALIAS
        keyPassword RELEASE_KEY_PASSWORD
    }
}

在项目根目录gradle.properties文件里，存放签名信息

RELEASE_SIGNING_FILE = ../../xxx.jks
RELEASE_STORE_PASSWORD = 111
RELEASE_KEY_ALIAS = demo
RELEASE_KEY_PASSWORD = 222  

然后在.gitignore文件里添加一条语句（不提交gradle.properties文件到服务器）

gradle.properties

安全分析

通过相对路径，我们把签名文件放在模块目录上二级，即和项目目同级，解决了安全隐患一

利用了gradle.properties文件里的键值对信息能直接在build.gradle中引用的方式，解决了安全隐患二

其他团队成员第一次使用这种配置打包的时候，需要本地更新自己的gradle.properties内容。

小结

上述安全的Gradle打包，有一个前提是允许项目里的gradle.properties文件不上传到服务器。有的团队，安卓项目因为一些特殊原因非得需要上传gradle.properties文件呢？那就只有自己新建一个.gradle文件存储签名信息了，详见kevin_nazgul的android签名文件存放的另一种方式

参考资料：

1. Gradle for Android By Kevin Pelgrims
2. stackoverflow：How to create a release signed apk file using Gradle?