我们正在使用受信任的CA签名的密钥签署我们的代码(Windows二进制文件)。
我不喜欢每个开发人员都拥有crt +密钥并且无法控制已签名的内容的想法。我也不喜欢CI(jenkins)自动签署每个二进制文件的想法。
我正在寻找一个集中的解决方案来通过审核来签署代码(因此我将知道签署了什么以及由谁签名)。完美的是要有一种方法,需要来自至少两名经理人组成员的确认。
贵公司如何组织这一流程?最佳实践支持的适当解决方案是什么?
答案 0 :(得分:0)
您可以在任何SCM中维护一个列表,以跟踪您要签名的文件,使用git甚至可以更轻松地查看谁将文件添加到列表中。使用pull请求将解决您的确认问题,任何脚本语言都可以通过代码签名服务上的简单包装器轻松解决您的问题。