将NuGet私有源代码包含在Docker容器中的安全方法

Question

我正在为我的Docker核心服务器设置一个ASP.NET容器，并且需要在构建和运行项目之前找到一种安全的方法来恢复NuGet包。

我设法挂载了一个驱动器，其中包含一个专门为此目的创建的新NuGet.config文件，因为我的团队没有将该配置文件作为Git存储库的一部分，但感觉这是错误的。

由于Docker的官方镜像没有将.NET作为库的一部分，一些人建议下载一个windows镜像来运行nuget source add，但这似乎也很糟糕。

我的Dockerfile：

FROM mcr.microsoft.com/dotnet/core/aspnet:2.2 AS base
WORKDIR /app
EXPOSE 5050

FROM mcr.microsoft.com/dotnet/core/sdk:2.2 AS build
WORKDIR /src
COPY . .

#Config file needs to be in root of solution or in User/share
RUN dotnet restore "MyProject.csproj"

无需下载2 2GB的windows镜像或复制包含密码的现有配置文件，即可添加私有NuGet源。

Answer 1

有一个nuget.config文件，它只列出包的源代码，而不是凭证，这是在您的源代码存储库中提交的。

使用cross platform authentication providers允许devs和CI机器对您的私人订阅源进行身份验证。

Answer 2

设置nuget的源路径不够好吗？

RUN dotnet restore -s https://api.nuget.org/v3/index.json -s https://my-local-private-nuget-source/nuget/nuget