以前@ploeh将所有程序集的签名密钥保密。 我想讨论它是否确实有意义。
如果我们查看其他流行的测试助手,我们会发现它们都打开了公钥:
我认为关闭 AF 密钥并没有太大意义,相信我们也可以将其添加到存储库中。 事实上,签名允许证明程序集的身份,但我认为我们并不严格要求这样做。 我们的时代 NuGet 用于分发包,而不是身份确实很重要的第三方站点。
如果我们将密钥发布到存储库,将会有很多好处:
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.
Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.
If we ship signing key issue will be solved.
至于@ploeh ,他似乎没有充分的理由保守秘密。
就个人而言,我会用双手投票来打开钥匙并简化每个人的生活。
伙计们( @moodmosaic 、 @adamchester 、 @ecampidoglio 、@klimisa)——你怎么看?
👍打开钥匙。
:+1: 没有任何理由不打开它。 怎么在乎? 我怀疑有人会这样做。
打开密钥并将 nuget.org 权限保密。
2017 年 4 月 2 日星期日 14:16 Alexander Batishchev通知@github.com
写道:
没有任何理由不打开它。 怎么在乎? 我怀疑有人会这样做。
—
您收到此消息是因为您订阅了此线程。
直接回复本邮件,在GitHub上查看
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103 ,
或静音线程
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq
.
虽然我觉得讨论的话题很有趣,但我没有意见。 对此投中立。
@ecampidoglio和@adamchester你能在这里也添加你的意见吗?
我目前正在研究 CI,以便为 v4 进行早期构建并简化发布过程本身。 我需要 CI 上的签名密钥 - 所以我需要这个决定。
我认为打开它是有道理的,尤其是考虑到此评论中提出的第二点。
此外,现在发布包的 NuGet 帐户保证了真实性,这在 AutoFixture 的早期肯定不是这样。
所以,当然,就我而言,您可以继续将密钥提交到 repo。 👍
👍打开它
谢谢,同意:)