ソースコードの難読化と電子JSのソースを保護する方法
私は最近electron Frameworkを使ったアプリを開発し、現在、電子JavaScriptコードに関連するセキュリティ上の懸念を読んだ後にソースコード保護を心配しています。
アプリが生産のために構築されていても、コードのリバースエンジニアリングが可能です。マイアプリケーションには、オートアップデートなどのGitHub Private Tokenのような多くの重要な情報が含まれています。
私はただ多くのSO投稿するが完璧な答えが見つからなかったので、問題を解決した。JavaScriptコードまたはソースコード保護の難読化は電子では不可能にしないでください。ただし、難読化はできませんコードを完全に保護するが、リバースエンジニアリング複合施設を作ることができます。そうするための回避策がある場合は、私に知らせてください。私は電子のセキュリティ関連のポストでtl;dr以上のものを見つけませんでした。
私は難読化方法を obfuscator で見つかりましたが、手動難読化が必要であると思われます。NW.jsのようなソースコード保護については何もありません。それを達成するためのより良い方法?
私は難読化に役立つものを見つけました 中程度の投稿 。しかし、ソース保護について何も見つかりませんでした。
何らかの理由であなたがクライアント側に持っている必要があるコードを参照しているならば、難読化は間違いなく助けることができます。敗北の不可能な難読化のようなものはありません。ただし、攻撃者の価値がないところではないポイントへの除肥度の費用を高めることができます。
OWASP Mobile Top 2016-M9リバースエンジニアリング これを指す: "効果的なリバースエンジニアリングを防ぐためには、難読化ツールを使用する必要があります"。その後、ランタイムの自己保護からも恩恵を受けることがあります。 OWASP List - "モバイルアプリは、コードが追加されたものから追加または変更された実行時に検出できなければならない。コンパイル時のその整合性について。アプリは実行時にコード整合性違反に適切に反応することができなければなりません。
異なる難読化業者を比較するときは、サポートとドキュメントを提供しているかどうかを確認することが重要です。また、その背後にある会社がマルウェアを追加して難読化コードでそれを隠しないようにします。これが無料の難読会器が短くなることがよくあります。
チェック JScrambler エンタープライズソリューションの場合。彼らは電子をサポートし、それらの難読化変換の全リストが利用可能です ここ 。
Obfuscationあなたの質問の答えではありません、どちらもあなたの問題を解決することはできません。あなたは難読化によってコード複合体を作ることができ、それを逆転させるのは難しいですが、それでもあなたのコードはそのような重要なトークン(すなわちgithubトークン)が含まれている場合に脆弱です。これらの詳細を正確に確保する方法があります。あなたはそのような詳細を隠すことができるネイティブモジュールが必要です。ネイティブモジュールよりも良い説明があります ここ 。 TL;博士はあなたがそれをあなた自身でやらなければならない。それでもそれは私にとって完璧ではありませんが、それは道になることができます。