Güvenilir bir ortamda kullanılan meclisleri imzalamak bana aşırı geliyor.
İmzalı derlemelerde ilginç bir nokta, kriptografik olarak doğrulanmaları gerektiğinden, bunların imzasız derlemelere göre biraz daha yavaş yüklenmeleridir.
Bir montajı imzalamak için, bağlı olduğu tüm montajların da imzalanması gerekir. Tahminimce bu, meslektaşınızın her şeyi imzalama arzusuna katkıda bulunuyor - derleyici bunu talep ediyor.
DÜZENLE Bu cevabı yazdığınızdan beri hem yanlıların hem de karşı tarafın kabaca eşdeğer desteğe sahip olduğunu görebilirsiniz. Açıkça burada doğru bir cevap yok.
Bu düzenlemeyi zorlayan nokta, günümüzde NuGet'ten çok sayıda açık kaynak kitaplığı almamız ve bunların çoğunun hiç imzalanmamış olmasıdır. Derlemenizi imzalamak isterseniz, herhangi bir bağımlılığı da imzalatmanız gerekir. İmzalanan açık kaynak kitaplıklarının çoğu, kaynak havuzlarında herkesin erişimine açık olarak imzalamak için kullanılan özel anahtarlara sahiptir.
Her şeyde olduğu gibi, yapılacak değiş tokuşlar var. Özel ortamlarda çalışma deneyimime göre, devlet kurumlarının kodunuzu değiştirmesinden endişelenmediğiniz sürece , imzalamanın faydaları çoğunlukla teoriktir (veya @ user289100'ün bahsettiği gibi akademiktir ), bu durumda bu kadar çok düzeyde paranoyak olmanız gerekir. altyapınız imzalamanın küçük bir çaba gibi görünmesini sağlar. Aksi takdirde, her şeyi imzalamak zorunda kalmaktan kaynaklanan zorlukların miktarı buna değmez. Ancak çevrenizin farklı gereksinimleri olabilir veya bir mazoşist olabilirsiniz!
Güçlü adlar kullanırken sürüm oluşturma derlemelerine ilişkin zorluklar hakkında bilgi için Teun D'nin yanıtına da bakın .