Kto powinien posiadać klucz prywatny używany do podpisywania zestawu .NET, gdy jego projekt jest open-source? [Zamknięte]
Dokładniej, zespół biblioteki klas. Moje pierwsze myśli:
Poproś kilku wyznaczonych administratorów o podpisanie całego zestawu. Ale kiedy zostaną naprawione błędy i nowe wersje, pliki binarne ostatecznie będą zależeć od tego, czy są w pobliżu (nawet jeśli jest to mała zmiana z powodów prywatnych).Klucz może być publicznie dostępny. Jest to jednak sprzeczne z praktykami kryptografii klucza publicznego i tracisz przewagę zaufania i tożsamości.Pozwól programistom końcowym i dystrybutorom podpisać go własnymi kluczami. Ale potem tracisz modularyzację, ponieważ każde nowe podpisywanie czyni ją niekompatybilną z niektórymi innymi wersjami.Jasne, po prostu nie możesz podpisać zgromadzenia. Ale jeśli inny projekt, który wymaga podpisania ich złożenia, odwołuje się do twojej biblioteki, pojawia się błąd kompilacji.