Autofixture: Haruskah kita merahasiakan kunci tanda kita?
Sebelumnya @ploeh merahasiakan kunci penandatanganan untuk semua majelis. Saya ingin mendiskusikan apakah itu memang masuk akal.
Jika kita memeriksa pembantu pengujian populer lainnya, kita akan menemukan bahwa semuanya telah membuka kunci publik:
- xunit - kunci terbuka .
- nunit - kunci terbuka .
- NSubstitute - kunci terbuka .
- Moq- kunci terbuka .
- FakeItEasy - kunci terbuka .
- FluentAssertions - kunci terbuka .
Saya tidak melihat terlalu masuk akal untuk menutup kunci AF dan percaya kami juga dapat menambahkannya ke repositori. Memang, penandatanganan memungkinkan untuk membuktikan identitas majelis, tetapi saya tidak percaya kami benar-benar membutuhkannya. Hari-hari kami NuGet digunakan untuk mendistribusikan paket, daripada situs pihak ketiga di mana identitas memang penting.
Jika kami mempublikasikan kunci ke repositori, itu akan memiliki banyak manfaat:
- Akan lebih mudah untuk menghasilkan NuGet dengan rakitan yang ditandatangani oleh CI.
- Akan lebih mudah bagi orang untuk membuat rakitan AutoFixture sendiri dan menguji apakah itu memecahkan masalah tertentu. Pertimbangkan skenario berikut:
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.
Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.
If we ship signing key issue will be solved.
- Anda tidak perlu menyimpan satu rahasia lagi :)
Adapun @ploeh , sepertinya dia tidak punya alasan kuat untuk merahasiakannya.
Secara pribadi, saya akan memilih menggunakan kedua tangan untuk membuka kunci dan menyederhanakan hidup semua orang.
Guys ( @moodmosaic , @adamchester , @ecampidoglio , @klimisa) - apa pendapat Anda tentang ini?
zvirja
Semua 8 komentar
👍 untuk membuka kunci.
adamralph
pada 2 Apr 2017
:+1: Tidak ada alasan untuk tidak membukanya. Bagaimana peduli? Saya ragu ada orang yang melakukannya.
abatishchev
pada 2 Apr 2017
Buka kunci dan rahasiakan hak istimewa nuget.org.
Pada Minggu, 2 Apr 2017 pukul 14:16 Alexander Batishchev [email protected]
menulis:
Tidak melihat alasan untuk tidak membukanya. Bagaimana peduli? Saya ragu ada orang yang melakukannya.
—
Anda menerima ini karena Anda berlangganan utas ini.
Balas email ini secara langsung, lihat di GitHub
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103 ,
atau matikan utasnya
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq
.
cvbarros
pada 2 Apr 2017
Meskipun saya menemukan topik diskusi menarik, saya tidak punya pendapat. Memilih netral untuk yang satu itu.
moodmosaic
pada 3 Apr 2017
@ecampidoglio dan @adamchester Bisakah Anda menambahkan pendapat Anda di sini juga?
Saat ini saya sedang mengerjakan CI untuk memiliki build awal untuk v4 dan menyederhanakan prosedur rilis itu sendiri. Saya membutuhkan kunci tanda pada CI - jadi saya membutuhkan keputusan ini.
zvirja
pada 5 Apr 2017
Saya pikir masuk akal untuk membukanya, terutama mengingat poin kedua yang diangkat dalam komentar ini .
Juga, keaslian hari ini dijamin oleh akun NuGet yang menerbitkan paket, yang tentu saja tidak terjadi pada hari-hari awal AutoFixture.
Jadi, tentu, Anda dapat melanjutkan dan memasukkan kunci ke repo sejauh yang saya ketahui. 👍
ecampidoglio
pada 5 Apr 2017
👍 untuk membukanya
adamchester
pada 5 Apr 2017
Terima kasih, setuju :)
zvirja
pada 5 Apr 2017
Masalah terkait
mjfreelancing
·
4Komentar
Ephasme
·
3Komentar
ploeh
·
7Komentar
zvirja
·
3Komentar
malylemire1
·
7Komentar