我最近才能够签署可执行文件。现在我正在尝试在我们的构建/发布过程中建立一个适当的位置,其中应该对程序集进行签名。
我的第一直觉是尽早签署(在后期制作活动中),以确保正在签署的内容是建筑商的意图。
但这会(在我们的例子中)要求每个开发人员都拥有对私钥的完全访问权限,这可能是不受欢迎的。
另一个想法是仅在我们发布时签名,以便签名很少由少数人执行。但那太晚了?
是否存在最佳实践?
答案 0 :(得分:2)
组织可以拥有开发人员严密保护的密钥对 无法每天访问。公钥通常是 可用,但只能访问私钥 个人。在开发具有强名称的程序集时 引用强命名目标程序集的程序集包含 用于给目标程序集强大的公钥的标记 名称。这要求公钥在期间可用 发展进程。
您可以在构建时使用延迟或部分签名来预留空间 在用于强名称签名的可移植可执行(PE)文件中, 但推迟实际签署,直到稍后阶段(通常只是 在发货之前)。