Autofixture: Devemos manter nossa chave de sinal em segredo?
Anteriormente, @ploeh mantinha a chave de assinatura de todos os assemblies em segredo. Eu gostaria de discutir se isso realmente faz sentido.
Se verificarmos outros auxiliares de teste populares, descobriremos que todos eles abriram a chave pública:
- xunit - a chave está aberta .
- nunit - a chave está aberta .
- NSubstitute - a chave está aberta .
- Moq - a chave está aberta .
- FakeItEasy - a chave está aberta .
- FluentAssertions - a chave está aberta .
Não vejo muito sentido em manter a chave AF fechada e acredito que também podemos adicioná-la ao repositório. Na verdade, a assinatura permite comprovar a identidade da assembleia, mas não creio que o exijamos estritamente. Em nossos dias, o NuGet é usado para distribuir pacotes, ao invés de sites de terceiros onde a identidade realmente importa.
Se publicarmos a chave no repositório, isso terá muitos benefícios:
- Será mais fácil gerar NuGet com assemblies assinados por CI.
- Será mais fácil para as pessoas fazer seus próprios conjuntos de AutoFixture e testar se isso resolve um problema específico. Considere o seguinte cenário:
1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.
Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.
If we ship signing key issue will be solved.
- Você não precisa armazenar mais um segredo :)
Quanto ao @ploeh , parece que ele não tinha fortes motivos para mantê-lo em segredo.
Pessoalmente, votaria com as duas mãos para abrir a chave e simplificar a vida de todos.
Pessoal ( @moodmosaic , @adamchester , @ecampidoglio , @klimisa) - o que vocês acham disso?
zvirja
Todos 8 comentários
👍 para abrir a chave.
adamralph
em 2 abr. 2017
: +1: Não vejo nenhuma razão para não abri-lo. Como se importa? Duvido que alguém faça.
abatishchev
em 2 abr. 2017
Abra a chave e mantenha os privilégios do nuget.org em segredo.
No domingo, 2 de abril de 2017 às 14:16 Alexander Batishchev [email protected]
escreveu:
Não vejo nenhuma razão para não abri-lo. Como se importa? Duvido que alguém faça.
-
Você está recebendo isto porque está inscrito neste tópico.
Responda a este e-mail diretamente, visualize-o no GitHub
https://github.com/AutoFixture/AutoFixture/issues/746#issuecomment-291000103 ,
ou silenciar o tópico
https://github.com/notifications/unsubscribe-auth/AAwCvwwhRzzUb9d3jVblzyxrpqrWyUsJks5rr9fkgaJpZM4Mw2Pq
.
cvbarros
em 2 abr. 2017
Embora eu ache o tópico da discussão interessante, não tenho opinião. Votando neutro nisso.
moodmosaic
em 3 abr. 2017
@ecampidoglio e @adamchester Você também poderia adicionar suas opiniões aqui?
Atualmente, estou trabalhando em CI para ter compilações iniciais para v4 e simplificar o próprio procedimento de lançamento. Preciso da chave de sinal do CI - então preciso dessa decisão.
zvirja
em 5 abr. 2017
Acho que faz sentido abri-lo, especialmente considerando o segundo ponto levantado neste comentário .
Além disso, atualmente a autenticidade é garantida pela conta do NuGet que publica o pacote, o que certamente não era o caso durante os primeiros dias da AutoFixture.
Portanto, com certeza, você pode prosseguir e comprometer as chaves para o repo, no que me diz respeito. 👍
ecampidoglio
em 5 abr. 2017
👍 para abri-lo
adamchester
em 5 abr. 2017
Obrigado, concordo :)
zvirja
em 5 abr. 2017
Questões relacionadas
mjfreelancing
·
4Comentários
Ephasme
·
3Comentários
tomasaschan
·
3Comentários
Eldar1205
·
5Comentários
ploeh
·
3Comentários