Auparavant, @ploeh gardait
Si nous vérifions d'autres assistants de test populaires, nous constaterons qu'ils ont tous ouvert une clé publique :
Je ne vois pas trop de sens de garder la clé AF fermée et je pense que nous pouvons également l'ajouter au référentiel. En effet, signer permet de prouver l'identité de l'assemblée, mais je ne pense pas que nous l'exigeions strictement. De nos jours, NuGet est utilisé pour distribuer des packages, plutôt que des sites tiers où l'identité compte effectivement.
Si nous publions la clé dans le référentiel, cela aura de nombreux avantages :
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.
Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.
If we ship signing key issue will be solved.
Quant au @ploeh , il semble qu'il n'avait pas de bonnes raisons de le garder secret.
Personnellement, je voterais à deux mains pour ouvrir la clé et simplifier la vie de tous.
Les gars ( @moodmosaic , @adamchester , @ecampidoglio , @klimisa) - qu'en pensez-vous ?
pour ouvrir la clé.
:+1: Je ne vois aucune raison de ne pas l'ouvrir. Comment s'en soucie ? Je doute que quiconque le fasse.
Ouvrez la clé et gardez les privilèges nuget.org secrets.
Le dim. 2 avril 2017 à 14:16 Alexander Batishchev [email protected]
a écrit:
Je ne vois aucune raison de ne pas l'ouvrir. Comment s'en soucie ? Je doute que quiconque le fasse.
-
Vous recevez ceci parce que vous êtes abonné à ce fil.
Répondez directement à cet e-mail, consultez-le sur GitHub
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103 ,
ou couper le fil
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq
.
Bien que je trouve le sujet de discussion intéressant, je n'ai pas d'opinion. Vote neutre sur celui-là.
@ecampidoglio et @adamchester Pourriez-vous également ajouter vos opinions ici ?
Je travaille actuellement sur CI pour avoir les premières versions de la v4 et simplifier la procédure de publication elle-même. J'ai besoin de la clé de connexion sur CI - donc j'ai besoin de cette décision.
Je pense qu'il est logique de l'ouvrir, surtout compte tenu du deuxième point soulevé dans ce commentaire .
De plus, de nos jours, l'authenticité est garantie par le compte NuGet qui publie le package, ce qui n'était certainement pas le cas au début d'AutoFixture.
Donc, bien sûr, vous pouvez aller de l'avant et engager les clés du dépôt en ce qui me concerne. ??
pour l'ouvrir
Merci, d'accord :)