是商业.NET组件中包含的代码签署第三方Nuget依赖性的行业标准?

问题描述 投票:0回答:1

我们开发了一个商业.NET组件,并依靠几个分发为Nuget软件包(例如SharpDx等)的第三方库。

我们的企业客户中的一些要求我们完全代码签署了所有组件(我们自己的和任何第三方依赖性)。 但是,我们依靠的大多数开源库都不提供代码签名的二进制文件。

我们注意到其他大型NET供应商(例如Telerik)也以其未签名的形式重新分配了这些依赖项。

是否有任何公认的行业标准或最佳实践来处理第三方Nuget软件包的代码签名?

  1. 我们在其他人如何为开源依赖性提供签名的二进制文件方面缺少某些东西,还是将其寄送未签名的常见做法?
这个问题可能涉及一系列问题,例如法律和许可,道德和安全风险。
c# visual-studio deployment nuget
1个回答
0
投票
详细步骤(以SharpDx为例)

下载SharpDx项目的源代码从这里:

    https://github.com/sharpdx/sharpdx

  1. 检查并保留LICENSE

    文件。

  2. add上下文to

    LICENSE
    文件要声明重新签名或详细介绍。

  3. 制造SharpDX项目并打包一个包装。您可以使用dotnet cli创建一个nuget软件包。 

    使用
    dotnet nuget sign
    4. 命令签署此软件包
  4. 

    

    

    5. dotnet nuget sign SharpDX .nupkg --certificate-path cert.pfx --overwrite

  5. 

    docs提到:
    用dotnetcli
创建了nuget包装
dotnet符号命令

    

	



    

    


  

  

    
最新问题


  





  

    © www.soinside.com 2019 - 2025. All rights reserved.