编者按:本文来自腾讯第三方崩溃捕获服务Bugly,近期他们支持 ATS 及 Bitcode 特性的 SDK 即将发布。作者冯义力,腾讯 Bugly SDK 开发工程师。昨天 Apple 宣布,iOS 9 正式版会在 9 月 16 日开始推送。经历过 5 个 Beta 版后,开发者们,你们的 App 都做好适配了吗?
Apple 秋季产品发布会刚刚结束,iOS 9 GM 版本也正式发布了。新的 iPhone 设备即将开售,iOS 9 系统升级也将会在下周开始陆续进行推送。
在这之前,我们还可以为自己的 App 兼容适配做点什么,或者说,我们的 App 真的已经兼容适配好 iOS 9 系统了吗?
从 7月 份开始到现在,Apple 已发布 5 个 iOS 9 的 Beta 版本,相信开发者在这段时间也已经把 iOS 9 系统的特性基本了解清楚,也为自己的 App 进行了一系列兼容适配处理。
但在这里,笔者还是要再次跟大家聊聊 iOS 9 中两个比较特别的特性及其兼容问题,即:App Transport Security 和 App Thinning。
App Transport Security
App Transport Security is a feature that improves the security of connections between an app and web services. The feature consists of default connection requirements that conform to best practices for secure connections.
App Transport Security (ATS) 是 Apple 为提高系统及应用安全性而在 iOS 9 和 OS X EI Capitan 中引入的新特性,必然,出于安全性的考虑,在新发布的 watchOS 2 系统中也会适用。
一旦开启 ATS 后,应用所有的网络请求将会自动转换为 HTPPS 传输,且采用一系列配置要求来保证数据传输的安全性,包括:
Transport Layer Security 协议版本要求 TLS1.2 以上
服务的 Ciphers 配置要求支持 Forward Secrecy 等
证书签名算法符合 ATS 要求等
这些配置项在升级服务器支持 HTTPS 过程中都需要严格遵守的,否则就会导致你的 HTTPS 服务在 iOS 9 系统中连接仍是失效的。
如果你的 App 的服务也在升级以适配 ATS 要求,可以使用如下的方式进行校验:
在 OS X EI Capitan 系统的终端中通过 nscurl 命令来诊断检查你的 HTTPS 服务配置是否满足 Apple 的 ATS 要求:$ nscurl --verbose --ats-diagnostics https://
当然,你也可以参考 Apple 提供官方指南 App Transport Security Technote 进行服务的升级配置以满足 ATS 的要求。
Apple 虽然希望开发者可以积极的参与并为系统及应用安全共同努力,但官方仍提供了一些参考配置去禁用 ATS 功能或降低 ATS 的安全性要求。
开发者可以在 App 的 Info.plist 中添加 NSAppTransportSecurity 的相关配置,用以禁用 ATS 或者添加白名单,可用的配置参数如下:
NSAllowsArbitraryLoads - 设置 true 即支持所有 HTTP 请求
NSExceptionDomains - 添加白名单
NSExceptionMinimumTLSVersion - 白名单指定域名支持的 TLS 版本
NSExceptionRequiresForwardSecrecy - 白名单指定域名是否支持 Forward Secrecy
NSExceptionAllowsInsecureHTTPLoads - 白名单指定域名禁用 ATS
NSThirdPartyExceptionMinimumTLSVersion - 白名单指定第三方服务域名最低支持的 TLS 版本
NSThirdPartyExceptionRequiresForwardSecrecy - 白名单指定第三方服务域名是否支持 Forward Secrecy
NSThirdPartyExceptionAllowsInsecureHTTPLoads - 白名单指定第三方域名禁用 ATS
举个例子:
禁用所有连接使用 ATS
在 Info.plist 中配置禁用 ATS:
NSAppTransportSecurity
NSAllowsArbitrary
指定域名禁用 ATS
在 Info.plist 中配置 App 的服务域名mine.test.com支持 HTTP:
NSAppTransportSecurity
NSExceptionDomains
mine.test.com
NSExceptionAllowsInsecureHTTPLoads
指定域名修改 ATS 安全要求
在 Info.plist 中配置第三方服务third.test.com的 TLS1.1 及禁用 Forward Secrecy:
NSAppTransportSecurity
NSExceptionDomains
mime.test.com
NSExceptionAllowsInsecureHTTPLoads
third.test.com
NSThirdPartyExceptionMinimumTLSVersion
1.1
NSThirdPartyExceptionRequiresForwardSecrecy
App Thinning
The App Store and operating system optimize the installation of iOS and watchOS apps by tailoring app delivery to the capabilities of the user’ s particular device, with minimal footprint. This optimization, called app thinning, lets you create apps that use the most device features, occupy minimum disk space, and accommodate future updates that can be applied by Apple. Faster downloads and more space for other apps and content provides a better user experience.
开发者都知道,当前 iOS App 的编译打包方式是把适配兼容多个设备的执行文件及资源文件合并一个文件,上传和下载的文件则包含了所有的这些文件,导致占用较多的存储空间。
App Thinning 是一个关于节省 iOS 设备存储空间的功能,它可以让 iOS 设备在安装、更新及运行 App 等场景中仅下载所需的资源,减少 App 的占用空间,从而节省设备的存储空间。
根据 Apple 官方文档的介绍,App Thinning 主要有三个机制:
Slicing
开发者把 App 安装包上传到 AppStore 后,Apple 服务会自动对安装包切割为不同的应用变体 (App variant),当用户下载安装包时,系统会根据设备型号下载安装对应的单个应用变体。
On-Demand Resources
ORD (随需资源) 是指开发者对资源添加标签上传后,系统会根据 App 运行的情况,动态下载并加载所需资源,而在存储空间不足时,自动删除这类资源。
Bitcode
开启 Bitcode 编译后,可以使得开发者上传 App 时只需上传 Intermediate Representation (中间件),而非最终的可执行二进制文件。 在用户下载 App 之前,AppStore 会自动编译中间件,产生设备所需的执行文件供用户下载安装。
其中,Bitcode 的机制可以支持动态的进行 App Slicing,而对于 Apple 未来进行硬件升级的措施,此机制可以保证在开发者不重新发布版本的情况下而兼容新的设备。
如果你的应用也准备启用 Bitcode 编译机制,就需要注意以下几点:
Xcode 7 默认开启 Bitcode,如果应用开启 Bitcode,那么其集成的其他第三方库也需要是 Bitcode 编译的包才能真正进行 Bitcode 编译
开启 Bitcode 编译后,编译产生的.app 体积会变大 (中间代码,不是用户下载的包),且.dSYM 文件不能用来崩溃日志的符号化 (用户下载的包是 Apple 服务重新编译产生的,有产生新的符号文件)
通过 Archive 方式上传 AppStore 的包,可以在 Xcode 的 Organizer 工具中下载对应安装包的新的符号文件
iOS 9 的 ATS 特性和 App Thinning 特性给开发者带来安全提升和体验上的优化,也是开发者在后续 App 的兼容适配方便会考虑的事项。