Autofixture: サインキーを秘密にしておく必要がありますか?

作成日 2017年04月02日  ·  8コメント  ·  ソース: AutoFixture/AutoFixture

以前は、 @ ploehはすべてのアセンブリの署名キーを秘密にしていました。 それが本当に理にかなっているのかどうかを議論したいと思います。

他の人気のあるテストヘルパーを確認すると、それらすべてが公開鍵を開いていることがわかります。

  1. xunit-キーが開いています。
  2. nunit-キーが開いています。
  3. NSubstitute-キーが開いています。
  4. Moq-キーが開いています。
  5. FakeItEasy-キーが開いています。
  6. FluentAssertions-キーが開いています。

AFキーを閉じたままにしておくのはあまり意味がなく、リポジトリに追加することもできると思います。 確かに、署名は議会の身元を証明することを可能にしますが、私たちはそれを厳密に要求するとは思いません。 私たちの時代のNuGetは、IDが実際に重要なサードパーティのサイトではなく、パッケージの配布に使用されています。

キーをリポジトリに公開すると、多くのメリットがあります。

  1. CIによる署名付きアセンブリを使用してNuGetを生成する方が簡単です。
  2. AutoFixtureアセンブリを独自に作成し、それが特定の問題を解決するかどうかをテストする方が簡単です。 次のシナリオを検討してください。
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.

Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.

If we ship signing key issue will be solved.

  1. もう1つの秘密を保存する必要はありません:)

@ploehに関しては、彼にそれを秘密にしておく強い理由

個人的には、両手を使って鍵を開け、みんなの生活を簡素化することに投票したいと思います。
みんな( @ moodmosaic@ adamchester@ ecampidoglio 、@ klimisa)-これについてどう思いますか?

question
ソース
picture zvirja

全てのコメント8件

👍キーを開きます。

adamralph picture adamralph 2017年04月02日

:+1:開かない理由は見当たらない。 どのように気にしますか? 私は誰もがそうすることを疑います。

abatishchev picture abatishchev 2017年04月02日

キーを開き、nuget.orgの権限を秘密にします。

14時16分アレクサンダーBatishchevの日、2017年4月2日には[email protected]
書きました:

それを開かない理由は見当たらない。 どのように気にしますか? 私は誰もがそうすることを疑います。


このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103
またはスレッドをミュートします
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq

cvbarros picture cvbarros 2017年04月02日

議論の話題は面白いと思いますが、意見はありません。 その1つに中立的な投票。

moodmosaic picture moodmosaic 2017年04月03日

@ecampidoglio@adamchesterここにもご意見をお聞かせください。
私は現在、v4の初期ビルドを作成し、リリース手順自体を簡素化するためにCIに取り組んでいます。 CIのサインキーが必要なので、この決定が必要です。

zvirja picture zvirja 2017年04月05日

特にこのコメントで提起された2番目のポイントを考えると、それを開くことは理にかなっていると思います。
また、最近では、パッケージを公開するNuGetアカウントによって信頼性が保証されていますが、AutoFixtureの初期にはそうではありませんでした。

だから、確かに、私に関する限り、あなたは先に進んでリポジトリにキーをコミットすることができます。 👍

ecampidoglio picture ecampidoglio 2017年04月05日
👍1

👍それを開く

adamchester picture adamchester 2017年04月05日
👍1

ありがとう、同意しました:)

zvirja picture zvirja 2017年04月05日
このページは役に立ちましたか?
0 / 5 - 0 評価

関連する問題

ecampidoglio picture ecampidoglio  ·  7コメント
tomasaschan picture tomasaschan  ·  3コメント
TroyHouston picture TroyHouston  ·  6コメント
Accc99 picture Accc99  ·  4コメント
mjfreelancing picture mjfreelancing  ·  4コメント