Autofixture: Sollten wir unseren Zeichenschlüssel geheim halten?

Erstellt am 2. Apr. 2017  ·  8Kommentare  ·  Quelle: AutoFixture/AutoFixture

Zuvor hielt @ploeh den Signaturschlüssel für alle Assemblys geheim. Ich würde gerne diskutieren, ob es wirklich Sinn macht.

Wenn wir andere beliebte Testhelfer überprüfen, stellen wir fest, dass alle einen öffentlichen Schlüssel geöffnet haben:

  1. xunit- Schlüssel ist geöffnet .
  2. Nunit- Schlüssel ist offen .
  3. NErsatzschlüssel ist geöffnet .
  4. Moq- Taste ist geöffnet .
  5. FakeItEasy- Schlüssel ist geöffnet .
  6. FluentAssertions - Schlüssel ist geöffnet .

Ich sehe keinen Sinn darin, den AF-Schlüssel geschlossen zu halten und glaube, dass wir ihn auch zum Repository hinzufügen können. Tatsächlich erlaubt die Unterzeichnung, die Identität der Versammlung zu beweisen, aber ich glaube nicht, dass wir dies unbedingt verlangen. Heutzutage wird NuGet verwendet, um Pakete zu verteilen, und nicht auf Websites von Drittanbietern, bei denen die Identität tatsächlich eine Rolle spielt.

Wenn wir den Schlüssel im Repository veröffentlichen, hat das viele Vorteile:

  1. Es wird einfacher sein, NuGet mit signierten Assemblys von CI zu generieren.
  2. Es wird einfacher sein, eigene AutoFixture-Baugruppen zu erstellen und zu testen, ob sie ein bestimmtes Problem lösen. Betrachten Sie das folgende Szenario:
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.

Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.

If we ship signing key issue will be solved.

  1. Sie müssen kein Geheimnis mehr speichern :)

Was @ploeh angeht , so scheint es, als hätte er keinen triftigen Grund, es geheim zu halten.

Persönlich würde ich mit beiden Händen abstimmen, um den Schlüssel zu öffnen und das Leben aller zu vereinfachen.
Leute ( @adamchester , @ecampidoglio , @klimisa) - was haltet ihr davon?

question
Quelle
picture zvirja

Alle 8 Kommentare

👍 um den Schlüssel zu öffnen.

adamralph picture adamralph am 2. Apr. 2017

:+1: Sehen Sie keinen Grund, es nicht zu öffnen. Wie kümmert es? Ich bezweifle, dass das jemand tut.

abatishchev picture abatishchev am 2. Apr. 2017

Öffnen Sie den Schlüssel und halten Sie die Berechtigungen von nuget.org geheim.

Am Sonntag, 2. April 2017 um 14:16 Uhr Alexander Batishchev [email protected]
schrieb:

Sehen Sie keinen Grund, es nicht zu öffnen. Wie kümmert es? Ich bezweifle, dass das jemand tut.


Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworten Sie direkt auf diese E-Mail und zeigen Sie sie auf GitHub an
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103 ,
oder den Thread stumm schalten
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq
.

cvbarros picture cvbarros am 2. Apr. 2017

Obwohl ich das Diskussionsthema interessant finde, habe ich keine Meinung dazu. Stimmen Sie dazu neutral.

moodmosaic picture moodmosaic am 3. Apr. 2017

@ecampidoglio und @adamchester Könnten Sie hier bitte auch Ihre Meinung hinzufügen?
Ich arbeite derzeit an CI, um frühe Builds für v4 zu haben und das Veröffentlichungsverfahren selbst zu vereinfachen. Ich brauche den Zeichenschlüssel auf CI - also brauche ich diese Entscheidung.

zvirja picture zvirja am 5. Apr. 2017

Ich halte es für sinnvoll, es zu öffnen, insbesondere angesichts des zweiten Punkts, der in diesem Kommentar angesprochen wird .
Außerdem wird die Authentizität heutzutage durch das NuGet-Konto garantiert, das das Paket veröffentlicht, was in den frühen Tagen von AutoFixture sicherlich nicht der Fall war.

Also, sicher, Sie können weitermachen und die Schlüssel für das Repo übergeben, soweit es mich betrifft. 👍

ecampidoglio picture ecampidoglio am 5. Apr. 2017
👍1

👍 um es zu öffnen

adamchester picture adamchester am 5. Apr. 2017
👍1

Danke, einverstanden :)

zvirja picture zvirja am 5. Apr. 2017
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

Accc99 picture Accc99  ·  4Kommentare
zvirja picture zvirja  ·  4Kommentare
joelleortiz picture joelleortiz  ·  4Kommentare
mjfreelancing picture mjfreelancing  ·  4Kommentare
zvirja picture zvirja  ·  3Kommentare