我们有一段 .NET 代码处理与我们平台的集成。我们希望与其他人分享这一点,以便更容易与我们整合。
在线阅读,使用 GitHub 作为源代码、MyGet 用于 CI 构建和 Nuget 用于发布构建的方法似乎是一个非常吸引人的解决方案。
我们有一些安全人员开始提出一些问题。
消费者如何确保他们下载的包确实来自我们?万一其他人设置了一个名称与我们相似的提要,并修改了代码。
代码签名似乎是要走的路,但是我们在哪里存储证书呢?我浏览了其他各种 github 存储库,其中一些存储了 snk 文件,另一些则在源代码控制之外的某处引用了 pfx 文件。
如何将这样的东西与 MyGet 中的构建过程集成?我们是否对 MyGet 进行未签名的构建,然后在执行最终发布到 NuGet 时有一些额外的步骤?