Github -> MyGet -> Nuget의 부호 코드

Question

우리 플랫폼과의 통합을 다루는 .NET 코드가 있습니다. 우리는 이것을 우리와 쉽게 통합 할 수 있도록 다른 사람들과 공유하기를 원합니다.

온라인으로 읽기, 소스에 GitHub, CI 용 MyGet 및 릴리스 빌드 용 Nuget을 사용하는 접근법은 매우 유익한 솔루션처럼 보입니다.

몇 가지 질문을하기 시작한 보안 담당자가 있습니다.

소비자는 실제로 다운로드 한 패키지가 실제로 우리에게서 나온 것인지 어떻게 확인할 수 있습니까? 누군가가 우리와 비슷한 이름의 피드를 수정 코드와 함께 설정하는 경우.

코드 서명이 진행되는 것처럼 보이지만 인증서를 어디에 저장합니까? 나는 다양한 다른 github repos를 브라우징했고 일부는 snk 파일을 저장하고, 다른 것들은 소스 컨트롤 외부의 pfx 파일에 대한 참조를 가지고있다.

MyGet의 빌드 프로세스와 어떻게 통합 할 수 있습니까? MyGet에 서명되지 않은 빌드를 수행 한 다음 NuGet에 최종 게시를 수행 할 때 추가 단계가 있습니까?

Answer 1

서명 된 이슈 생성 방법에 대한 추가 배경 정보는이 게시물 (GitHub 소스 링크가 있음)을 참조하십시오. 블로그 게시물은 귀하가 호스트/제어하는 ​​서버/서비스에서 패키지 서명을 수행 할 수있게 해주는 MyGet 웹 훅을 이용합니다 : http://blog.maartenballiauw.be/post/2014/09/10/Automatically-strong-name-signing-NuGet-packages.aspx