私は現在、自分のプロジェクトをオープンソース化することを考えており、ソース コードとプロジェクト構造を公開する準備を進めています。ここで 1 つの質問があります。アセンブリの署名キーをどのように処理すればよいですか? オープンソース バージョンの新しいキーを作成し、他のファイルと一緒に SVN リポジトリに公開する必要がありますか? キーを省略し、コードをコンパイルしたい人は自分のキーを生成する必要がありますか?
これをどのように処理しますか?署名鍵を公開することに少し違和感を覚えます。
2326 次
3 に答える
24
Protocol Buffersについては、キーを放します。はい、それは人々がそれが元のバイナリであることを実際に信頼できないことを意味します - しかし、コードを少し変更して再構築し、別の署名されたアセンブリから引き続き使用できるようにしたい人にとっては、生活が大幅に簡単になります.
信頼できる Protocol Buffers のバージョンが、GitHub のコードで構築された正当なものであることを本当に望んでいる場合は、信頼できるソースから簡単に構築できます。
確かに両側から見えますが。セキュリティを中心に展開するオープン ソース プロジェクトを書いているとしたら、それは別の問題かもしれません。
于 2008-12-28T13:23:43.517 に答える
11
鍵を公開するつもりはありません。署名されたアセンブリを持つことの要点は、バイナリに触れたのはあなただけだと人々が信頼できることです。したがって、不正なコードが追加された場合、署名はオフになり、人々はアセンブリを信頼しないことを知っています。
アセンブリに署名することで、他の人があなたのバイナリに "悪い" コードを追加し、それが正当なリリースであると偽るのを防ぐことができます。
于 2008-12-28T12:59:32.097 に答える