Nuget.org现在可以允许Nuget软件包的作者对其软件包进行签名,以便该软件包的用户可以验证该软件包未被篡改,并且可以对制作该软件包的作者进行某种身份验证。包。这是blog宣布的消息。
听起来任何新内容都需要对软件包进行签名,但过去的软件包将不会被签名。它是否正确? 我怎么知道包裹已经签名?
我正在使用版本15.8.5和Nuget Package Manager 4.6.0以上的Visual Studio 2017
答案 0 :(得分:3)
否,不要求作者签名的软件包可以上传到nuget.org。有关签名软件包的更多文档,包括reference page和signing packages。
NuGet.org也将对软件包进行签名。在撰写本文时,大多数流行的软件包已经被存储库签名了,所有其他软件包最终都将被回购签名。是的,作者签名和回购签名之间有区别,因此某些软件包将具有两个签名。
要检查包装是否已签名,可以follow these instructions。或在NuGet包资源管理器中打开包,尽管您需要知道要查找的内容,因为我不确定是否有任何明确表示未签名的内容。或者,您可以使用任何知道zip的程序打开nupkg(或者,如果它是已经还原的软件包,请转到全局软件包文件夹%USERPROFILE%\.nuget\packages中的文件夹,然后查找名为.signature.p7s的文件。