我应该强名称/强签名OSS dll
本文关键字:OSS dll 强名称 我应该 | 更新日期: 2023-09-27 18:34:05
我有许多开源项目,它们也有可用的Nuget包。
最近,我被要求对这些 OSS NuGet 包之一进行强签名(好吧,包中的 DLL,更简洁)。
所以 - 问题:
- 如果我对它进行强签名,其他未强签名的 dll 可以使用它吗?
- 我是否/应该将我的
.snk文件提交到公共仓库中?如果是,那岂不是违背了"秘密"签署的目的?
干杯!
这是一组有趣的问题。
如果我对它进行强签名,其他未强签名的 dll 可以使用它吗?
我相信答案是肯定的。 强签名是创建"信任链"的一种手段。 可以使用强签名的 dll,而无需对使用内容的 dll 进行强签名。
我是否/应该将我的
.snk文件提交到公共存储库中?如果是,那岂不是违背了"秘密"签署的目的?
是的。如果发布 .snk 文件,则会破坏强签名的目的(在大多数情况下),因为任何人都可以对 dll 进行签名。 想要使用公开可用的源项目的人应该负责为自己使用进行签名。 如果您的客户想要它或仅以二进制形式分发项目,那么您可以对其进行签名,但要保持私钥(snk)的私密性。