我们考虑将我们的一个程序集放在GAC中以进行版本控制。 这意味着必须对此程序集进行签名,并且还必须对其使用的其他程序集(例如第三方)进行签名。只有第三方供应商才能签名。是否有实际风险,某些供应商不会提供签名版本,我们限制自己?
答案 0 :(得分:1)
您可以随时使用ilmerge与第三方签约。
我的博客上有一个链接:http://preetsangha.blogspot.com/2007/10/signing-third-party-assembly.html
答案 1 :(得分:1)
风险不适用。
如果仅仅依赖于其他GAC程序集,您只能在GAC中放置程序集 因此,您的第三方库应该已经在GAC中。
如果不是,你可以伪造它(参见@Preet Sangha)但是你成为那些libs的发行者。与其他应用程序共享这些二进制文件将不会发生。
答案 2 :(得分:0)
是的存在风险,但如果第三方供应商适合GAC,则应签署。如果不是,你应该可以要求签署。
IMO,这是一个风险,但不是主要风险,特别是如果您有一个可以验证的现有解决方案都已签名。