存储代码签名证书

Question

我拥有一个公共的、开源的Windows窗体/C#应用程序，我想通过Azure管道CI开始使用我的证书进行代码签名。我已经设置了我的管道，它正在构建的很好，下一步是集成自动代码签名，直到现在我一直在手动完成。我已采取以下步骤：

• 已将证书添加到安全文件存储中
• 已安装的代码签名扩展插件https://marketplace.visualstudio.com/items?itemName=stefankert.codesigning
• 已创建任务变量并将其标记为机密。

添加任务后，YML生成的内容是：

- task: codesigning@2
  inputs:
    secureFileId: '$(certName)'
    signCertPassword: '$(certPass)'
    files: '**/*.exe'
    timeServer: 'http://timestamp.digicert.com'
    hashingAlgorithm: 'SHA256'

因此，保存这一点，它显然将更新我的存储库中的azure-管线. this 。是否可以在Azure管道中执行代码签名而不公开存储库中的任何信息？这被认为是Azure管道中代码签名的最佳实践吗？

Answer 1

据我所见，您已经正确地完成了一切，您已经将证书材料(即PFX)和PFX的密码存储在一个可能没有其他人可以访问的安全位置。假设您没有授予其他人对Azure租户的权限，并且不盲目地接受更改azure-pipelines.yml的拉请求，那么您就处于一个好位置。

如果您感到疑神疑鬼，那么您可以使用私有存储库创建第二个管道，该存储库是在前一个管道成功完成时触发的。然而，IMHO，我会仔细考虑一下你所面临的风险，即试图将两条管道连接在一起的复杂性和脆弱性。