我有一个开源的iOS项目,可以通过GitHub获得。我在所有项目中都使用Fabric-用于实时统计,崩溃报告等。
最近我发现我的Fabric API密钥位于Info.plist中,并且可以通过Build Phase(通过Xcode中的项目设置)使用构建密钥。
我通过一封电子邮件指出了这一点:
AppName(
***.***.***h)已成功添加。
所提供的bundleID与我的应用程序完全相同,只是以“ h”结尾。因此,我认为有人拉出了应用程序存储库并进行了构建,然后向Fabric添加了新应用程序(带有该bundleID)。
我的问题是:
- 泄漏的API密钥和Build Secret Key是否有害?他们可以使用这些键做什么?
- 我现在该怎么办?!我知道可以更改Build Secret Key,但是就足够了吗?
- 如何防止将这些密钥放在公共项目和开源项目中?