Tworzę zestaw startowy, który instaluje skompilowane złożenia z projektu open-source do GAC, aby ułatwić odwoływanie się do złożeń w szablonie. Odkąd są w GAC, muszą być podpisane.Czy muszę zabezpieczyć mój silny plik kluczy nazw dla projektu open-source?
Czy muszę zabezpieczyć hasłem i zabezpieczyć plik klucza, czy też można go pozostawić otwarte i dołączyć plik do kontroli źródła?
Czy mógłbyś rozwinąć ten błędny pogląd na temat ochrony przed naruszeniem złożenia? Nie wydaje mi się to poprawne (patrz http://stackoverflow.com/questions/369248/can-strong-naming-an-assembly-be-used-to-verify-the-assembly-author/369477#369477), ale może czegoś mi brakuje? Jednak sama silna nazwa nie jest w stanie zweryfikować uprawnień (które wymagałyby mechanizmu certyfikatów, takiego jak Authenticode). –
@divo: Co jest nie tak, dokładnie? Problem z silnym podpisywaniem klucza polega na tym, że nie można zweryfikować źródła klucza publicznego, aby mógł on zostać zregenerowany przez innego autora i nadal zgadzać się z przypisami (które mogą zostać zmienione). Jeśli uważasz, że połączona odpowiedź nie zgadza się z moją (jestem pewna, że tak nie jest), spróbuj ją przeczytać ostrożnie (w połączeniu z odpowiedzią Mehrdada, która jest również dobra). Jest tu kilka subtelności, które w żaden sposób nie są łatwe do zrozumienia. – Noldorin