React Native Maps 中的 Apple 隐私清单问题解析

背景概述

随着 iOS 17 的发布，Apple 引入了新的隐私清单要求，要求开发者明确声明应用中使用的特定 API 及其使用目的。这一政策旨在提高应用透明度和用户隐私保护。React Native Maps 作为流行的地图组件库，也受到了这一政策的影响。

问题发现

在 React Native Maps 1.15.2 版本中，开发者发现了以下隐私相关的 API 使用情况：

1. 在 react-native-maps 中使用了 NSFileModificationDate
2. 在 Google Maps 相关库中使用了多个文件系统相关 API：
   • mach_absolute_time
   • NSFileCreationDate
   • NSFileModificationDate
   • NSURLContentModificationDateKey
   • NSUserDefaults
   • NSFileSystemFreeSize
   • NSURLCreationDateKey
   • stat

这些 API 都属于 Apple 要求的"必须声明理由的 API"范畴，需要在隐私清单中明确说明使用目的。

技术分析

隐私清单要求

Apple 要求开发者必须为特定的 API 使用提供隐私声明，这些 API 主要涉及：

1. 文件系统访问（如文件创建/修改时间）
2. 系统资源使用情况
3. 用户偏好设置访问

在 React Native Maps 中，主要涉及的是文件系统时间戳相关的 API，这些通常用于缓存管理和性能优化。

错误声明问题

最初 React Native Maps 1.15.2 版本中直接声明了 NSFileModificationDate 作为 API 类型，这是不正确的。正确的做法应该是声明为 NSPrivacyAccessedAPICategoryFileTimestamp 类别，这是 Apple 规定的标准 API 分类。

解决方案演进

1. 临时解决方案：

   • 降级到 1.15.1 版本（不包含隐私清单）
   • 使用 patch-package 手动修改隐私清单内容

2. Google Maps 特定解决方案：

   • 单独为 Google Maps SDK 添加隐私清单
   • 将清单文件添加到 Xcode 项目的"Copy Bundle Resources"构建阶段

3. 最终修复方案：

   • 在后续版本中将 NSFileModificationDate 替换为正确的 NSPrivacyAccessedAPICategoryFileTimestamp
   • 确保所有隐私相关的 API 都按照 Apple 规范进行声明

最佳实践建议

1. 隐私清单管理：

   • 使用自动化工具扫描项目中的隐私相关 API
   • 确保所有第三方库都提供了正确的隐私声明

2. 构建配置：

   • 在 Podfile 中考虑设置 privacy_file_aggregation_enabled 选项
   • 避免在 CI/CD 流程中自动更新隐私清单文件

3. 版本选择：

   • 使用已经修复此问题的 React Native Maps 版本（1.15.4 及以上）
   • 定期检查库的更新以获取最新的隐私合规修复

总结

React Native Maps 的隐私清单问题是一个典型的第三方库隐私合规案例。随着移动平台对隐私保护要求的不断提高，开发者需要更加关注应用中使用的 API 及其隐私影响。通过正确声明 API 使用目的、及时更新依赖库以及合理配置构建流程，可以确保应用顺利通过 App Store 审核，同时保护用户隐私。