|
一、背景
项目组核心代码模块部署于用户服务器上,另外一家公司获取了该服务器的root密码,常规的通过配置环境变量来进行数据库加密处理的方式,直接甩jar包到服务器的方式,极有可能导致数据泄露和代码泄露。
二、代码混淆
1.常用的混淆工具
软件名称推荐理由Allatori Java Obfuscator轻量级可集成在IDE工具中,通过配置文件引入使用DashO for Android and Java收费,可与eclipse集成,防止Java程序被逆向工程和篡改,还能压缩代码量Zelix KlassMaster能读取和修改Java类文件,可以运行在任何支持1.1.6版Java虚拟机的平台上。Cinnabar Canner通过创建一个原生Windows可执行文件(EXE文件)保护你的代码不被逆向工程反编译,这个可执行文件包含了你的应用程序类和资源的全部加密版本,只有在被JVM调用到内存中时才处于非加密状态Jmangle Java类粉碎机来阻止反编译Java程序,降低盗版的软件,开发者可用其粉碎类文件中的符号。RetroGuard通用的字节码混淆器,用来无缝融入你的日常构建和测试过程中,使得你辛苦编写宝贵的Java代码更加安全JODE含Java解码器和优化器的Java包ProGuard免费的 Java类文件的压缩,优化,混肴器。它删除没有用的类,字段,方法与属性。使字节码最大程度地优化,使用简短且无意义的名字来重命名类、字段和方法 。eclipse已经把Proguard集成在一起了。Java 字节码操纵框架 ASMASM 是一个 Java 字节码操纵框架。它可以直接以二进制形式动态地生成 stub 类或其他代理类,或者在装载时动态地修改类。ASM 提供类似于 BCEL 和 SERP 之类的工具包的功能,但是被设计得更小巧、更快速,这使它适用于实时代码插装
经过比对,最终选择了proguard,选择该工具主要有以下原因:
支持pom内直接集成配置文件可以集成pom内,也可以单独配置有很多相关的博文介绍公司其他项目组有使用这个的经验
2.proguard实际配置
以springboot单体应用为例,在原有项目配置文件的基础上,需要修改 plugins的相关配置
【可选】修改springboot的maven-plugin配置 |