常に実行可能ファイル (exe、dll、ocx など) に署名することをお勧めします。一方、オープンソース プロジェクトでは、他のすべての開発者からのプロジェクトへの貢献を無視すると見なされる場合があります。
これは私にとって非常に倫理的なジレンマであり、同様の状況にあった人、またはオープンソース プロジェクトに貢献した人から、これについてもっと意見を聞きたいと思います。
この質問は、.NET 4 を使用して C# で記述されたオープンソース プロジェクトに関するものであるため、ユーザーが実行可能ファイルをクリックすると、ファイルが信頼されていない発行元からのものであるという警告が表示されます。デジタル署名されていません。
ちなみに、すべてのアセンブリには既に厳密な名前 (署名) がありますが、まだデジタル署名されていません (つまり、Verisign コード署名証明書を使用)。
.Net は、多くの機能 (特にライブラリ) がファイルを厳密な名前のキーで署名する必要があるため、別の獣ですが、それらは最終製品からの苦情なしで自己署名できます (ポップするライブラリではなくプログラム証明書を使用します)。元の質問で参照しているメッセージ ボックスを開きます)。
ただし、一般的に、グループが公式ディストリビューションに秘密鍵で署名することに問題はないと思います。ソースに何かをして技術的に再コンパイルすると、「ファイルは信頼されていない発行元からのものです」と表示されます。実行可能ファイルが特定の発行元から署名されていないために、意図したとおりの使用が妨げられない限り (GPL の tivoization 条項)、実行可能ファイルに署名しない理由はないと思います。
これが「かなりの倫理的ジレンマ」であると言うのは、おそらく不釣り合いです。あなたは間違いなく実行可能ファイルにコード署名したいと思っていますが、署名することに問題があるとは思いません。たとえば、TortoiseSVN は「Stefan Kueng、オープン ソース開発者」によって署名されています。
そうは言っても、プロジェクトのためにある種の法人を形成し、プロジェクトのエンティティの名前でコード署名証明書を取得することはおそらく良い考えです。そうすれば、実行可能ファイルに個人的に署名する (つまり「すべてのクレジットを取得する」) のではなく、プロジェクトの名前が発行元として表示されます。
あなたが米国にいた場合は、LLCまたは501(c)(3) 組織を設立することをお勧めします。これは、所得税が免除され、個人がプロジェクトに税控除対象の寄付を行うことを許可します。(多くのオープンソース プロジェクトは、 WordPressやjQueryを含む 501(c)(3) 事業体として組織されています。) トルコにお住まいのようですので、何らかの法的事業体を形成するための現地の要件を調査する必要があります。一度形成されると、自分自身ではなくプロジェクトのエンティティの名前で CA から証明書を取得できるようになります。