私はつい最近、実行可能ファイルに署名できることに喜びを感じ始めました。現在、ビルド/公開プロセスでアセンブリに署名する適切な場所を確立しようとしています。
私の最初の本能は、署名されているものがビルダーが意図したものであることを確認するために、できるだけ早く (ビルド後のイベントで) 署名することでした。
しかし、これには (私たちの場合) すべての開発者が秘密鍵に完全にアクセスできる必要があり、望ましくない場合があります。
もう 1 つのアイデアは、公開する場合にのみ署名することです。これにより、署名はめったに行われず、少数の人々によって行われます。しかし、それでは遅すぎますか?
ベストプラクティスは存在しますか?
組織は、開発者が日常的にアクセスできない厳重に保護されたキー ペアを持つことができます。多くの場合、公開鍵は利用可能ですが、秘密鍵へのアクセスは少数の個人のみに制限されています。厳密な名前を持つアセンブリを開発する場合、厳密な名前のターゲット アセンブリを参照する各アセンブリには、ターゲット アセンブリに厳密な名前を付けるために使用される公開キーのトークンが含まれます。これには、開発プロセス中に公開鍵が使用可能である必要があります。
ビルド時に遅延署名または部分署名を使用して、移植可能な実行可能 (PE) ファイルに厳密な名前の署名用のスペースを確保できますが、実際の署名は後の段階 (通常はアセンブリを出荷する直前) まで延期できます。