翻译：【中】Secret Management on iOS #308

Ji4n1ng · 2020-05-11T16:02:43Z

下面是 PR 模板，使用说明：

填上对应的 Issue 链接或者 Issue ID

填上你认为本文阅读需要的时长

创建 PR

可以看到PR Checklist部分变成了可以勾选的方框，按照自己的实际情况进行勾选

这篇文章对应的 Issue 链接是：#286

本文的大致阅读时长：[12] 分钟。（这里按照你的主观感受填写即可，不需要非常准确，主要给读者一个参考）

PR Checklist:

我已经仔细阅读翻译说明文档
我的文章符合格式要求
我的文章头部符合头部格式
我已经完成自查环节，从读者角度阅读，我确定文章足够通顺易懂

请校对同学帮忙校对。

Ji4n1ng · 2020-05-11T16:07:43Z

校对同学你好，文中我不确定的几处地方：

原文：🧠 COSMIC BRAIN。COSMIC 是宇宙的意思，但是后文还有个 UNIVERSE BRAIN，我根据递进的关系，翻译为世界级大脑。
原文：Bonus: Subscribe to changes for automatic credential rolling functionality。这个地方我实在没搞懂，临时翻译为：自动证书滚动功能（automatic credential rolling functionality）

Nemocdz

一次校对完毕。问题主要是

翻译不准确，自己读起来都无法理解的，不要丢给校对同学
语句不通顺，翻译完需要重新读一些，有拗口的地方不知道如何翻译可以找大家帮忙
修改后自己再多读一下，下次注意～

Nemocdz · 2020-05-25T12:33:13Z

nshipster/2019-11-12-secret-management-on-ios.md

@@ -0,0 +1,285 @@
+title: "iOS 机密管理"


机密这个说法很怪，直接译作敏感信息就行，全文修改

nshipster/2019-11-12-secret-management-on-ios.md

Nemocdz · 2020-06-01T15:05:33Z

nshipster/2019-11-12-secret-management-on-ios.md


 引用本杰明·富兰克林（Benjamin Franklin）的话：

 > 如果你不想让敌人知道你的秘密，就不要把它告诉朋友。

-## 🧠 大脑袋 - 在 Xcode 配置文件和 Info.plist 中存储机密
+## 🧠 大脑袋 - 在 Xcode 配置文件和 Info.plist 中存储敏感


敏感信息

Nemocdz · 2020-06-01T15:13:57Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+尽管敏感信息的安全性通常不是我们的首要关注点，充其量是次要关注点，但这方面的学术研究从未止步，这迫使我们作为开发人员必须认真对待这些威胁。
+
+例如，北卡罗莱纳州立大学的研究人员 [发现](https://www.ndss-symposium.org/ndss-paper/how-bad-can-it-git-characterizing-secret-leakage-in-public-github-repositories/)，每天都有数千个 API 密钥，多因素敏感信息（multi-factor secrets）和其他的敏感证书在 GitHub 上泄漏。[(Meli, McNiece, & Reaves, 2019)](https://nshipster.com/secrets/#meli_2019) 另一篇发布在 2018 年的论文 [发现](https://ieeexplore.ieee.org/abstract/document/8719525/authors#authors) 在 100 个流行的 iOS 应用程序样本中有 68 个存在 SDK 证书误用问题。[(Wen, Li, Zhang, & Gu, 2018)](https://nshipster.com/secrets/#wen_2018)


密钥、多因素敏感信息用顿号

Nemocdz · 2020-06-01T15:15:26Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+本周在 NSHipster 上，我们将厚着脸皮地通过 [2017 年的一个梗](https://knowyourmeme.com/memes/galaxy-brain)，来逐步地介绍更睿智的策略以保护敏感信息的安全。
+
+如果你的应用程序包含了嵌入式的 Twitter 访问令牌、AWS Key ID 或任何其他形式的证书，那么请继续阅读并打开你的脑洞。


嵌入式 -> 内嵌

Nemocdz · 2020-06-01T15:19:27Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+本周在 NSHipster 上，我们将厚着脸皮地通过 [2017 年的一个梗](https://knowyourmeme.com/memes/galaxy-brain)，来逐步地介绍更睿智的策略以保护敏感信息的安全。
+
+如果你的应用程序包含了嵌入式的 Twitter 访问令牌、AWS Key ID 或任何其他形式的证书，那么请继续阅读并打开你的脑洞。


打开你的脑洞 -> 发散你的思维

Nemocdz · 2020-06-01T15:20:04Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+例如，北卡罗莱纳州立大学的研究人员 [发现](https://www.ndss-symposium.org/ndss-paper/how-bad-can-it-git-characterizing-secret-leakage-in-public-github-repositories/)，每天都有数千个 API 密钥，多因素敏感信息（multi-factor secrets）和其他的敏感证书在 GitHub 上泄漏。[(Meli, McNiece, & Reaves, 2019)](https://nshipster.com/secrets/#meli_2019) 另一篇发布在 2018 年的论文 [发现](https://ieeexplore.ieee.org/abstract/document/8719525/authors#authors) 在 100 个流行的 iOS 应用程序样本中有 68 个存在 SDK 证书误用问题。[(Wen, Li, Zhang, & Gu, 2018)](https://nshipster.com/secrets/#wen_2018)
+
+本周在 NSHipster 上，我们将厚着脸皮地通过 [2017 年的一个梗](https://knowyourmeme.com/memes/galaxy-brain)，来逐步地介绍更睿智的策略以保护敏感信息的安全。


这里睿智是不是不太好，会不会有点像骂人的

Nemocdz · 2020-06-01T15:24:27Z

nshipster/2019-11-12-secret-management-on-ios.md

+…
+```
+
+尽管一个从 App Store 下载你的应用程序的正常用户几乎从来不会想到在他们的设备上打开 `.ipa`，但是有很多新兴移动应用行业的个人和组织出于分析和安全的目的，去研究应用程序文件里的数据。即使这些公司中的大多数都做事光明正大，但也可能会有一些机器脚本通过对应用程序进行分析，挑选出硬编码的敏感信息。


几乎从来不会想到太长了几乎不会

Nemocdz · 2020-06-01T15:25:44Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+尽管一个从 App Store 下载你的应用程序的正常用户几乎从来不会想到在他们的设备上打开 `.ipa`，但是有很多新兴移动应用行业的个人和组织出于分析和安全的目的，去研究应用程序文件里的数据。即使这些公司中的大多数都做事光明正大，但也可能会有一些机器脚本通过对应用程序进行分析，挑选出硬编码的敏感信息。
+
+其中大部分只是推测，但我们可以确定的是：


其中 -> 虽然上面

Nemocdz · 2020-06-01T15:27:19Z

nshipster/2019-11-12-secret-management-on-ios.md

+Secrets.apiKey // "6a0f0731d84afa4082031e3a72354991"
+```
+
+如果你正在使用 [CocoaPods](https://nshipster.com/cocoapods/)，则可能对 [CocoaPods 密钥插件](https://github.com/orta/cocoapods-keys) 感兴趣，它同样也是使用代码生成来编码敏感信息（尽管没有任何混淆）。


则可能 -> 也许

Nemocdz · 2020-06-01T15:30:35Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+> Secure Enclave 中的敏感信息是安全的，但这不是我们使用敏感信息的目的。
+
+## 🧠 宇宙级脑袋 - 不可能实现客户端敏感信息


不可能实现客户端敏感信息 -> 客户端无秘密可言

Nemocdz · 2020-06-01T15:32:02Z

nshipster/2019-11-12-secret-management-on-ios.md

+
+**与其将客户敏感信息管理视为要解决的问题，不如将其视为要避免的反面模式（anti-pattern）。**
+
+> 译者注：在软件工程中，一个反面模式（anti-pattern或antipattern）指的是在实践中明显出现但又低效或是有待优化的设计模式，是用来解决问题的带有共同性的不良方法。它们已经经过研究并分类，以防止日后重蹈覆辙，并能在研发尚未投产的系统时辨认出来。


英文和中文中间缺空格

Ji4n1ng added 2 commits May 8, 2020 00:54

翻译：【中】Secret Management on iOS

fbc14f6

修正：Secret Management on iOS

59fc973

Nemocdz requested changes May 26, 2020

View reviewed changes

Update 2019-11-12-secret-management-on-ios.md

ed86d09

Nemocdz requested changes Jun 1, 2020

View reviewed changes

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

翻译：【中】Secret Management on iOS #308

翻译：【中】Secret Management on iOS #308

Ji4n1ng commented May 11, 2020

Ji4n1ng commented May 11, 2020

Nemocdz left a comment

Nemocdz May 25, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020

Nemocdz Jun 1, 2020


		尽管敏感信息的安全性通常不是我们的首要关注点，充其量是次要关注点，但这方面的学术研究从未止步，这迫使我们作为开发人员必须认真对待这些威胁。

		例如，北卡罗莱纳州立大学的研究人员 [发现](https://www.ndss-symposium.org/ndss-paper/how-bad-can-it-git-characterizing-secret-leakage-in-public-github-repositories/)，每天都有数千个 API 密钥，多因素敏感信息（multi-factor secrets）和其他的敏感证书在 GitHub 上泄漏。[(Meli, McNiece, & Reaves, 2019)](https://nshipster.com/secrets/#meli_2019) 另一篇发布在 2018 年的论文 [发现](https://ieeexplore.ieee.org/abstract/document/8719525/authors#authors) 在 100 个流行的 iOS 应用程序样本中有 68 个存在 SDK 证书误用问题。[(Wen, Li, Zhang, & Gu, 2018)](https://nshipster.com/secrets/#wen_2018)


		本周在 NSHipster 上，我们将厚着脸皮地通过 [2017 年的一个梗](https://knowyourmeme.com/memes/galaxy-brain)，来逐步地介绍更睿智的策略以保护敏感信息的安全。

		如果你的应用程序包含了嵌入式的 Twitter 访问令牌、AWS Key ID 或任何其他形式的证书，那么请继续阅读并打开你的脑洞。


		尽管一个从 App Store 下载你的应用程序的正常用户几乎从来不会想到在他们的设备上打开 `.ipa`，但是有很多新兴移动应用行业的个人和组织出于分析和安全的目的，去研究应用程序文件里的数据。即使这些公司中的大多数都做事光明正大，但也可能会有一些机器脚本通过对应用程序进行分析，挑选出硬编码的敏感信息。

		其中大部分只是推测，但我们可以确定的是：


		> Secure Enclave 中的敏感信息是安全的，但这不是我们使用敏感信息的目的。

		## 🧠 宇宙级脑袋 - 不可能实现客户端敏感信息


		与其将客户敏感信息管理视为要解决的问题，不如将其视为要避免的反面模式（anti-pattern）。

		> 译者注：在软件工程中，一个反面模式（anti-pattern或antipattern）指的是在实践中明显出现但又低效或是有待优化的设计模式，是用来解决问题的带有共同性的不良方法。它们已经经过研究并分类，以防止日后重蹈覆辙，并能在研发尚未投产的系统时辨认出来。

翻译：【中】Secret Management on iOS #308

Are you sure you want to change the base?

翻译：【中】Secret Management on iOS #308

Conversation

Ji4n1ng commented May 11, 2020

Ji4n1ng commented May 11, 2020

Nemocdz left a comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment

Choose a reason for hiding this comment