Github的签名代码 - > MyGet - > Nuget

Question

我们有一段.NET代码，用于处理与我们平台的集成。我们希望与他人分享，以便与我们进行整合。

在线阅读，使用GitHub作为源代码，使用MyGet作为CI构建，使用Nuget作为构建版本似乎是一个非常吸引人的解决方案。

我们有一些安全人员开始问一些问题。

消费者如何确保他们下载的软件包实际上来自我们？ 如果其他人使用修改后的代码设置了名称与我们类似的Feed。

代码签名似乎是要走的路，但我们在哪里存储证书？我浏览过其他各种github仓库，其中一些存储了一个snk文件，另一些仓库对源代码管理之外的某个pfx文件进行了引用。

如何在MyGet中集成类似这样的构建过程？我们是否对MyGet进行了未签名构建，然后在执行最终发布到NuGet时还有一些额外的步骤？

Answer 1

看到这篇文章（链接到GitHub来源）了解如何创建签名工件的一些额外的背景信息。博客文章利用MyGet网页挂钩，它允许您在您主持/控制的服务器/服务上进行包裹签名： http://blog.maartenballiauw.be/post/2014/09/10/Automatically-strong-name-signing-NuGet-packages.aspx