我想了解一些有关代码签名的最佳做法。我们有一个基于Eclipse的应用程序,并认为适合签署我们的插件。这提出了很多问题:代码签名作为构建过程的一部分
私钥可以/应该在 源代码管理?
我们是否应该将代码作为 我们每晚的构建过程或作为我们发布过程的 的一部分签名?
代码应该自动签署 还是有原因 为什么这应该是手动步骤?
我的倾向是说,“是的”,“晚间”,并将“自动”,但我可以看到一个参数仅供签署发布的产品。我甚至可以提出SQA应该在验证它之后签署代码的论点,尽管这会真正混淆我们的发布过程。
其他人如何管理这个?