Реагировать на целостность Native bundle с помощью OTA

Когда один OTA-пакет js внутри собственного встроенного приложения (через CodePush или аналогичный), как можно обеспечить целостность пакета?

в App Store или Google Play файл app / apk подписывается, что гарантирует его одобрение владельцем, а также никто не трогал файл после. Но похоже на то, что реагирует родной JS-пакет OTA не имеет такой защиты, это правда?

Спасибо!