Я нахожусь в следующей ситуации: у нас есть корпоративная учетная запись разработчика, а для приложения мы работаем с внешним разработчиком.

На данный момент у нас нет доступа к исходному коду, поэтому мы можемСборки не выполняются, но нам все еще нужны еженедельные сборки, которые можно устанавливать на устройства ... поэтому внешний разработчик должен иметь возможность создавать файлы ipa.

Разработчик теперь является участником программы разработчиков и имеет собственный сертификат разработчика. Однако может быть только один сертификат распространения.

С точки зрения безопасности, безопасно ли / рекомендуется ли нам предоставлять сертификат распространения (и закрытый ключ) и профиль обеспечения, чтобы они могли создавать файлы ipa?

Есть ли другие (более безопасные) варианты?

PS: я также думал, что мы можем отказаться от ipa с нашим сертификатом распространения, но это все еще оставляет нас в ситуации, когда им нужно иметь возможность создавать ipa - и это возможно только с установленным сертификатом распространения + инициализация.