Autofixture: Должны ли мы хранить в секрете ключ подписи?

Ранее @ploeh держал ключ подписи для всех сборок в секрете. Я хотел бы обсудить, действительно ли это имеет смысл.

Если мы проверим других популярных помощников по тестированию, мы обнаружим, что все они открыли открытый ключ:

1. xunit - ключ открыт .
2. nunit - ключ открыт .
3. NSubstitute - ключ открыт .
4. Moq - ключ открыт .
5. FakeItEasy - ключ открыт .
6. FluentAssertions - ключ открыт .

Я не вижу особого смысла держать ключ AF закрытым и считаю, что мы также можем добавить его в репозиторий. Действительно, подпись позволяет подтвердить личность сборки, но я не думаю, что мы этого строго требуем. В наши дни NuGet используется для распространения пакетов, а не сторонних сайтов, на которых действительно важна личность.

Если мы опубликуем ключ к репозиторию, это будет иметь много преимуществ:

1. С помощью CI будет проще сгенерировать NuGet с подписанными сборками.
2. Людям будет проще создавать собственные сборки AutoFixture и проверять, решает ли это конкретную проблему. Рассмотрим следующий сценарий:

1. You found some bug in AF. You download source code locally and fix it.
2. Now you have AF assemblies with fixed bug and you want to test whether it helped.

Here is where the issues start. If you assemblies are unsigned, you cannot simply put the modified assemblies to the local NuGet cache - project will not compile. Rather, you need to update all your projects to target to a new assembly - just for a simple test. The things become even worse when that is the core `AutoFixture` assembly, as other depending libraries (like `AutoFixture.xunit` or `AutoFixture.NSubstitute`) will need to be updated as well.

If we ship signing key issue will be solved.

1. Не нужно хранить еще один секрет :)

Что касается @ploeh , похоже, у него не было веских причин хранить его в секрете.

Лично я бы проголосовал двумя руками, чтобы открыть ключ и упростить жизнь каждому.
Ребята ( @moodmosaic , @adamchester , @ecampidoglio , @klimisa) - что вы думаете по этому поводу?