Github -> MyGet -> Nuget的签名代码

Question

我们有一段.NET代码来处理与我们平台的集成。我们希望与其他人分享这一点，以便更容易地与我们集成。

在线阅读，将GitHub用于源代码，将MyGet用于CI构建，将Nuget用于发布构建似乎是一个非常吸引人的解决方案。

我们有一些安全人员开始问一些问题。

消费者如何确保他们下载的包确实来自我们？以防其他人设置了一个与我们名字相似的提要，并修改了代码。

代码签名似乎是可行的，但是我们将证书存储在哪里呢？我浏览了各种其他的github代码库，其中一些存储了snk文件，其他的在源代码控制之外的某个地方引用了pfx文件。

如何在MyGet中将这样的东西集成到构建过程中呢？我们是否对MyGet进行了未签名的构建，然后在执行最终发布到NuGet时有一些额外的步骤？

Answer 1

有关如何创建签名工件的其他背景信息，请参阅这篇文章(带有GitHub源代码的链接)。这篇博文利用了MyGet web挂钩，它允许您在托管/控制的服务器/服务上进行包签名：http://blog.maartenballiauw.be/post/2014/09/10/Automatically-strong-name-signing-NuGet-packages.aspx