Inclusion des secrets dans le code
Bonjour,
Je me demande pourquoi vous avez décidé de ne pas publier les tokens de l'application dans app/build.gradle
:
dimension = "environment"
resValue "string", "app_name", "TAC Verif"
buildConfigField "Boolean", "WITH_CHECK_HELP", "false"
buildConfigField "String", "ENDPOINT_URL", "\"https://XXX.com\""
buildConfigField "String", "KC_PUBLICKEY", "\"XXX\""
buildConfigField "String", "PERSISTENT_TOKEN", "\"XXX\""
buildConfigField "String", "SCANDIT_LICENSE_KEY", "\"\""
Masquer ces secrets prend du sens dans le cas du code source d'un backend mais je n'en vois objectivement pas l'intérêt dans le cadre d'une application android. En effet, n'importe quel outil de reverse engineering décent permet de récupérer ces secrets en moins de 5 minutes !
La diffusion de ces token permettrait de construire facilement l'application à partir de ses sources et ainsi de disposer d'une version fonctionnelle réellement Open Source de l'application...
Merci