Signaturcode für Github -> MyGet -> Nuget

Question

Wir haben ein Stück .NET-Code, der sich mit der Integration gegen unsere Plattform befasst. Wir möchten dies mit anderen teilen, um die Integration mit uns zu erleichtern.

Lesen online, der Ansatz der Verwendung von GitHub für Quelle, MyGet für CI-Builds und Nuget für Release-Build scheint wie eine sehr attraktive Lösung.

Wir haben einige Sicherheitsleute, die beginnen, einige Fragen zu stellen.

Wie können Verbraucher sicherstellen, dass das von ihnen heruntergeladene Paket tatsächlich von uns stammt? Falls jemand anders einen Feed mit einem uns ähnlichen Namen einrichtet, mit geändertem Code.

Code Signing scheint der Weg zu sein, aber wo speichern wir das Zertifikat? Ich habe verschiedene andere Github-Repos durchsucht, und einige speichern eine Snk-Datei, andere haben einen Verweis auf eine PFX-Datei irgendwo außerhalb der Quellcodeverwaltung.

Wie kann man so etwas mit dem Build-Prozess in MyGet integrieren? Machen wir nicht signierte Builds in MyGet und haben dann einen zusätzlichen Schritt bei der endgültigen Veröffentlichung in NuGet?

Answer 1

In diesem Beitrag (mit Link zu GitHub-Quellen) finden Sie zusätzliche Hintergrundinformationen zum Erstellen signierter Artefakte. Der Blog Post nutzt MyGet Web Hooks, mit denen Sie Ihre Paketsignierung auf einem Server/Service durchführen können, den Sie hosten/steuern: http://blog.maartenballiauw.be/post/2014/09/10/Automatically-strong-name-signing-NuGet-packages.aspx