Tutorial: assinatura de código da Apple com o Fastlane no CodeBuild usando o GitHub para armazenamento de certificados - AWS CodeBuild
Pré-requisitosEtapa 1: configurar o Fastlane Match com o GitHub na máquina localEtapa 2: configurar o FastfileEtapa 3: executar o comando fastlane match para gerar os respectivos certificados e perfisEtapa 4: criar o arquivo da aplicação para o projeto Etapa 5: criar variáveis de ambiente no Secrets ManagerEtapa 6: criar uma frota de computaçãoEtapa 7: criar um projeto no CodeBuildEtapa 8: executar a compilaçãoSolução de problemasConsiderações sobre segurança

Tutorial: assinatura de código da Apple com o Fastlane no CodeBuild usando o GitHub para armazenamento de certificados

fastlane é uma ferramenta popular de automação de código aberto para automatizar implantações e lançamentos beta de aplicações iOS e Android. Ela gerencia todas as tarefas tediosas, como gerar capturas de tela, gerenciar assinaturas de código e lançar a aplicação.

Este exemplo demonstra como configurar a assinatura de código da Apple usando o fastlane em um projeto do CodeBuild executado na frota do Mac, com o GitHub como armazenamento para certificados e perfis de provisionamento.

Pré-requisitos

Para concluir este tutorial, primeiro você precisa configurar o seguinte:

  • Uma Conta da AWS

  • Uma conta de desenvolvedor da Apple

  • Um repositório privado do GitHub para armazenar certificados

  • fastlane instalado no projeto: guia para instalar o fastlane

Etapa 1: configurar o Fastlane Match com o GitHub na máquina local

O Fastlane Match é uma das ferramentas do Fastlane e permite uma configuração perfeita da assinatura de código no ambiente de desenvolvimento local e no CodeBuild. O Fastlane Match armazena todos os certificados de assinatura de código e perfis de provisionamento em um repositório Git/bucket do S3/Google Cloud Storage e baixa e instala os certificados e perfis exigidos quando necessário.

Neste exemplo de configuração, vamos configurar e usar um repositório Git para armazenamento.

  1. Inicialize o match em seu projeto:

    fastlane match init

  2. Quando solicitado, escolha GitHub como modo de armazenamento.

  3. Atualize o “Matchfile” para usar o GitHub:

    git_url("https://github.com/your-username/your-certificate-repo.git")
storage_mode("git")
type("development") # The default type, can be: appstore, adhoc, enterprise or development
nota

Insira o URL HTTPS do repositório Git para fastlane para autenticar e clonar com sucesso. Caso contrário, você poderá receber um erro de autenticação ao tentar usar o match.

Etapa 2: configurar o Fastfile

Crie ou atualize seu `Fastfile` com a seguinte lane.

No CodeBuild, o Fastlane Match precisará ser executado toda vez que você compilar e assinar a aplicação. A maneira mais fácil de fazer isso é adicionar a ação match à lane que cria a aplicação.

default_platform(:ios)

platform :ios do
  before_all do
    setup_ci
  end
  
  desc "Build and sign the app"
  lane :build do
    match(type: "appstore", readonly: true)
    gym(
      scheme: "YourScheme",
      export_method: "app-store"
    )
  end
end
nota

Adicione setup_ci à seção before_all no Fastfile para que a ação de match funcione corretamente. Isso garante que um chaveiro temporário do Fastlane com as permissões apropriadas seja usado. Sem usar isso, podem ocorrer falhas na compilação ou resultados inconsistentes.

Etapa 3: executar o comando fastlane match para gerar os respectivos certificados e perfis

O comando match do fastlane para o tipo especificado (ou seja, development, appstore, adhoc, enterprise) gerará o certificado e o perfil se não estiver disponível na loja remota. Os certificados e perfis serão armazenados no GitHub pelo fastlane.

bundle exec fastlane match appstore

A execução do comando será interativa e o fastlane solicitará a definição da senha para descriptografar os certificados.

Etapa 4: criar o arquivo da aplicação para o projeto

Crie ou adicione o arquivo da aplicação conforme apropriado para o projeto.

  1. Crie ou adicione o Gymfile, Appfile, Snapfile, Deliverfile com base nos requisitos de compilação do projeto.

  2. Confirme as alterações para o repositório remoto.

Etapa 5: criar variáveis de ambiente no Secrets Manager

Crie três segredos para armazenar o cookie da sessão do fastlane e a frase secreta correspondente. Consulte mais informações sobre como criar segredos no Secrets Manager em Criar um segredo do AWS Secrets Manager.

  1. Acesse seu cookie de sessão do fastlane da seguinte forma.

    1. Chave secreta: FASTLANE_SESSION

    2. Valor do segredo: cookie de sessão gerado ao executar o comando a seguir na máquina local.

      nota

      Esse valor fica disponível após a autenticação em um arquivo local: ~/.fastlane/spaceship/my_appleid_username/cookie.

      fastlane spaceauth -u <Apple_account>

  2. Frase secreta do Fastlane Match: para permitir que o Fastlane Match decifre os certificados e perfis armazenados no repositório Git, é necessário adicionar a senha de criptografia que você configurou na etapa de configuração do Match às variáveis de ambiente do projeto do CodeBuild.

    1. Chave secreta: MATCH_PASSWORD

    2. Valor do segredo: <match passphrase to decrypt certificates>. A frase secreta é definida ao gerar os certificados na Etapa 3.

  3. MATCH_GIT_BASIC_AUTHORIZATION do Fastlane: defina uma autorização básica para match:

    1. Chave secreta:

      MATCH_GIT_BASIC_AUTHORIZATION

    2. Valor do segredo: o valor deve ser uma string codificada em base64 do seu nome de usuário e token de acesso pessoal (PAT) no formato username:password. Você pode gerá-lo usando o seguinte comando:

      echo -n your_github_username:your_personal_access_token | base64

      Gere o PAT no console do GitHub, em Seu perfil > Configurações > Configurações de desenvolvedor > Token de acesso pessoal. Consulte mais informações no seguinte guia: https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens.

nota

Ao criar os segredos acima no Secrets Manager, forneça o nome de um segredo com o seguinte prefixo: /CodeBuild/

Etapa 6: criar uma frota de computação

Crie a frota de computação para o projeto.

  1. No console, acesse o CodeBuild e crie uma frota de computação.

  2. Escolha macOS como sistema operacional e selecione um tipo de computação e uma imagem apropriados.

Etapa 7: criar um projeto no CodeBuild

Crie o projeto no CodeBuild.

  1. Abra o console do AWS CodeBuild em https://console.aws.amazon.com/codesuite/codebuild/home.

  2. Crie um projeto de compilação. Para obter informações, consulte Criar um projeto de compilação (console) e Executar uma compilação (console).

  3. Configure o provedor de origem (como GitHub, CodeCommit). Esse é o repositório de origem do projeto do iOS e não o repositório de certificados.

  4. Em Ambiente:

    • Escolha Capacidade reservada.

    • Em Frota, selecione a frota criada acima.

    • Forneça o nome do perfil de serviço que o CodeBuild criará para você.

    • Forneça as variáveis de ambiente abaixo.

      • Nome: MATCH_PASSWORD, Valor: <secrets arn>, Tipo: Secrets Manager (ARN dos segredos criados na etapa 5 de MATCH_PASSWORD)

      • Nome: FASTLANE_SESSION, Valor: <secrets arn>, Tipo: Secrets Manager (ARN dos segredos criados na etapa 5 de FASTLANE_SESSION)

      • Nome: MATCH_GIT_BASIC_AUTHORIZATION, Valor: <secrets arn>, Tipo: ARN de segredos do Secrets Manager (criados na etapa 5 de MATCH_GIT_BASIC_AUTHORIZATION)

  5. Em Buildspec, adicione:

    version: 0.2

phases:
  install:
    commands:
      - gem install bundler
      - bundle install
  build:
    commands:
      - echo "Building and signing the app..."
      - bundle exec fastlane build
  post_build:
    commands:
      - echo "Build completed on date"

artifacts:
  files:
    - '*/.ipa'
  name: app-$(date +%Y-%m-%d)

Etapa 8: executar a compilação

Execute o build. Você pode revisar o status e os logs da compilação no CodeBuild.

Depois que o trabalho for concluído, você poderá visualizar o log do trabalho.

Solução de problemas

  • Se você encontrar problemas para acessar o repositório do GitHub, verifique novamente o token de acesso pessoal e a variável de ambiente MATCH_GIT_BASIC_AUTHORIZATION.

  • Se você encontrar problemas com a decodificação do certificado, defina a senha correta na variável de ambiente MATCH_PASSWORD.

  • Para problemas de assinatura de código, verifique se sua conta de desenvolvedor da Apple tem os certificados e perfis necessários e se o identificador do pacote no projeto do Xcode corresponde ao do perfil de aprovisionamento.

Considerações sobre segurança

Veja as configurações sobre segurança deste tutorial.

  • Mantenha o repositório do GitHub para certificados privado e audite regularmente o acesso.

  • Considere usar AWS Secrets Manager para armazenar informações confidenciais, como MATCH_PASSWORD e FASTLANE_SESSION.

Este exemplo fornece uma configuração para assinatura de código do iOS com o Fastlane no CodeBuild usando o GitHub para armazenamento de certificados. Talvez seja necessário ajustar algumas etapas com base nos requisitos específicos do projeto e no ambiente do CodeBuild. Essa abordagem utiliza os serviços da AWS para aumentar a segurança e a integração no ecossistema da AWS.