2

我最近才开始享受能够签署可执行文件的乐趣。现在我正在尝试在我们的构建/发布过程中建立一个适当的位置,应该对程序集进行签名。

我的第一直觉是尽早签署(在构建后的活动中),以确保签署的内容是建造者想要的。

但这(在我们的例子中)要求每个开发人员都拥有对私钥的完全访问权限,这可能是不可取的。

另一个想法是仅在我们发布时签名,这样签名很少且由少数人执行。但这为时已晚吗?

是否存在最佳实践?

4

1 回答 1

2

延迟签署程序集

组织可以拥有一个严密保护的密钥对,开发人员每天都无法访问。公钥通常可用,但对私钥的访问仅限于少数人。开发具有强名称的程序集时,每个引用强名称目标程序集的程序集都包含用于为目标程序集提供强名称的公钥标记。这要求公钥在开发过程中可用。

您可以在构建时使用延迟或部分签名在可移植可执行 (PE) 文件中为强名称签名保留空间,但将实际签名推迟到稍后阶段(通常是在交付程序集之前)。

于 2012-05-05T03:16:40.210 回答