对于开源应用程序,我们希望从Jenkins实例提供夜间修补版本,供用户测试。
Windows接受的代码签名证书仅适用于注册公司,并且只能与智能卡一起使用,考虑到受损密钥的影响,这是有意义的。
因此,我正在寻找一种方法,在不影响安全性的情况下向用户分发二进制文件,但这种方式仍然可以为我们管理。
创意1:要求用户安装证书
这对用户来说不方便,但可以通过合理的努力来完成(" root"证书将绑定到离线密钥,而实际的签名密钥将包括CRL URL)。
创意2:创建一个下载工具(类似于Minecraft)
这将是一个相当多的努力写。通过根据我们的签名密钥检查安装程序包上的签名,验证将起作用,签名密钥将位于单独的密钥存储区中,并且我们可以对包进行额外的健全性检查(例如,一组有限的MSI操作)。由于下载工具很少会发生变化,因此使用常规代码签名证书对其进行签名不是问题。
对于不属于单个组织的大型测试人员群组,可以使用自动构建的最佳做法是什么?