Skip to content

MASTG-BEST-0006: Utilizar Esquemas de Assinatura de APK Atualizados

Certifique-se de que o aplicativo esteja assinado com pelo menos o esquema de assinatura de APK v2 ou v3, pois eles fornecem verificações de integridade abrangentes e protegem todo o APK contra adulterações. Para segurança e compatibilidade ideais, considere usar o v3, que também suporta rotação de chaves.

Opcionalmente, você pode adicionar a assinatura v4 para habilitar atualizações incrementais mais rápidas no Android 11 e superiores, mas o v4 sozinho não fornece proteções de segurança e deve ser usado junto com v2 ou v3.

A configuração de assinatura pode ser gerenciada através do Android Studio ou da seção signingConfigs no build.gradle ou build.gradle.kts. Para ativar os esquemas v3 e v4, os seguintes valores devem ser definidos:

// build.gradle
android {
  ...
  signingConfigs {
    config {
        ...
        enableV3Signing true
        enableV4Signing true
    }
  }
}

Tests

MASTG-TEST-0224: Uso de Versão de Assinatura Insegura