Sebelumnya @ploeh merahasiakan kunci penandatanganan untuk semua majelis. Saya ingin mendiskusikan apakah itu memang masuk akal.
Jika kita memeriksa pembantu pengujian populer lainnya, kita akan menemukan bahwa semuanya telah membuka kunci publik:
Saya tidak melihat terlalu masuk akal untuk menutup kunci AF dan percaya kami juga dapat menambahkannya ke repositori. Memang, penandatanganan memungkinkan untuk membuktikan identitas majelis, tetapi saya tidak percaya kami benar-benar membutuhkannya. Hari-hari kami NuGet digunakan untuk mendistribusikan paket, daripada situs pihak ketiga di mana identitas memang penting.
Jika kami mempublikasikan kunci ke repositori, itu akan memiliki banyak manfaat:
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.
Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.
If we ship signing key issue will be solved.
Adapun @ploeh , sepertinya dia tidak punya alasan kuat untuk merahasiakannya.
Secara pribadi, saya akan memilih menggunakan kedua tangan untuk membuka kunci dan menyederhanakan hidup semua orang.
Guys ( @moodmosaic , @adamchester , @ecampidoglio , @klimisa) - apa pendapat Anda tentang ini?
👍 untuk membuka kunci.
:+1: Tidak ada alasan untuk tidak membukanya. Bagaimana peduli? Saya ragu ada orang yang melakukannya.
Buka kunci dan rahasiakan hak istimewa nuget.org.
Pada Minggu, 2 Apr 2017 pukul 14:16 Alexander Batishchev [email protected]
menulis:
Tidak melihat alasan untuk tidak membukanya. Bagaimana peduli? Saya ragu ada orang yang melakukannya.
—
Anda menerima ini karena Anda berlangganan utas ini.
Balas email ini secara langsung, lihat di GitHub
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103 ,
atau matikan utasnya
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq
.
Meskipun saya menemukan topik diskusi menarik, saya tidak punya pendapat. Memilih netral untuk yang satu itu.
@ecampidoglio dan @adamchester Bisakah Anda menambahkan pendapat Anda di sini juga?
Saat ini saya sedang mengerjakan CI untuk memiliki build awal untuk v4 dan menyederhanakan prosedur rilis itu sendiri. Saya membutuhkan kunci tanda pada CI - jadi saya membutuhkan keputusan ini.
Saya pikir masuk akal untuk membukanya, terutama mengingat poin kedua yang diangkat dalam komentar ini .
Juga, keaslian hari ini dijamin oleh akun NuGet yang menerbitkan paket, yang tentu saja tidak terjadi pada hari-hari awal AutoFixture.
Jadi, tentu, Anda dapat melanjutkan dan memasukkan kunci ke repo sejauh yang saya ketahui. 👍
👍 untuk membukanya
Terima kasih, setuju :)