我们有一段.NET代码可以处理与我们平台的集成。我们希望与其他人分享这一点,以便更容易与我们整合。
在线阅读,使用GitHub进行源代码,使用MyGet进行CI构建和使用Nuget进行发布构建的方法似乎是一个非常吸引人的解决方案。
我们有一些安全人员开始提出一些问题。
消费者如何确保他们下载的包实际上来自我们? 如果其他人使用修改后的代码设置名称与我们类似的Feed。
代码签名似乎是要走的路,但我们在哪里存储证书?我浏览了各种其他github存储库,有些存储了snk文件,其他人在源代码控制之外的某个地方引用了pfx文件。
如何将这样的内容与MyGet中的构建过程集成?我们是否对MyGet进行了未签名的构建,然后在对NuGet进行最终发布时又有一些额外的步骤?
答案 0 :(得分:0)
有关如何创建签名工件的一些其他背景信息,请参阅此文章(包含指向GitHub源的链接)。该博客文章利用MyGet Web挂钩,允许您在托管/控制的服务器/服务上进行包签名: http://blog.maartenballiauw.be/post/2014/09/10/Automatically-strong-name-signing-NuGet-packages.aspx