我不是在問強名稱鍵的路徑在哪里。這應該是顯而易見的。我在問路徑運算式應該是什么樣子,幾乎了解作業系統路徑規范的所有內容。
GitHub 專案是一個 Visual Studio 2022 解決方案,由 20 多個 .NET 6.0 C# 專案組成。大多數專案旨在作為單獨的 NuGet 包發布。
隨著這些事情的發生,細節。
密鑰的路徑應該放在專案檔案中。這是我的擔憂:我可以指定 2 種路徑:絕對路徑和相對路徑。當我移動我的專案時,親戚會中斷。當我移動鑰匙時,絕對會打破。
"D:\Source\Keys\MyKey.snk"當我更改驅動器號時,絕對路徑也將中斷,Windows 為可移動驅動器分配不同的驅動器號等。
除非我通過像"\Source\Keys\MyKey.snk". 這似乎是最優雅和最好的解決方案,只要 Visual Studio 允許它作業。但事實并非如此。我想它可以解決它,"C:\Source\Keys\MyKey.snk"因為為什么不,如果它安裝在"C:\...".
因此,要么是帶有驅動器號的丑陋路徑,要么是丑陋的相對路徑。我的確切問題是有第三種選擇嗎?也許 IDK,使用環境變數,Visual Studio 配置的內部變數或類似的東西?
現在我堅持使用相對路徑。然后還有一個問題。如果有人拉取 GitHub 專案,它不會編譯抱怨丟失的鍵。當然,他們可以洗掉程式集簽名,然后就可以了。
還有其他方法嗎?
所以我 GitHub 專案的當前狀態是“默認強名稱/相對鍵路徑”,它允許我在推送或發布代碼更改時專注于編碼而不會分心。但是,如果有更好的密鑰解決方案,我只是很好奇。
uj5u.com熱心網友回復:
推薦:簽入強名稱鍵
.NET 團隊有以下檔案,為庫作者提供指導,其中有一個專門關于強命名的頁面:https : //docs.microsoft.com/dotnet/standard/library-guidance/strong-naming
這部分是相關的:
考慮將強命名鍵添加到您的源代碼控制系統。
公開可用的密鑰允許開發人員使用相同的密鑰修改和重新編譯您的庫源代碼。
如果過去曾使用強命名密鑰在部分信任場景中授予特殊權限,則不應將其公開。否則,您可能會損害現有環境。
重要的
當需要代碼發布者的身份時,建議使用 Authenticode 和 NuGet 包簽名。代碼訪問安全 (CAS) 不應用作安全緩解措施。
關于強名稱的此頁面也相關:https : //docs.microsoft.com/dotnet/standard/assembly/strong-named
警告
不要依賴強名稱來確保安全。它們僅提供唯一標識。
因此,強名稱密鑰與安全性無關,因此如果您只是將其提交給源代碼控制,則不應該有任何真正的風險。如果您想要安全性,這就是 Authenticode 的用途,它使用不同的密鑰。
替代方案:PublicSign
還有另一個功能PublicSign,它通過延遲簽名程式集解決 .NET Framework 上的信任問題。但老實說,這與只檢查整個強名稱密鑰并沒有太大區別,因為它需要您提交公鑰。
首先,使用sn.exe 僅提取公鑰(從非常快速的角度來看,我認為這是一個-p選項)。請注意此檔案頁面如何也有警告說強名稱不安全。無論如何,通過這種方式,任何人都可以在他們的本地機器上構建您的代碼,并且它會生成一個具有相同身份的程式集,允許他們將本地構建的副本放入他們自己的應用程式中作為替代,一切都應該正常作業。
不推薦:CI 和本地構建的作業方式不同
如果由于某種原因您不會簽入強名稱鍵,那么您應該將構建配置為在本地運行時與在 CI 中運行時不同。與軟體開發中的大多數事情一樣,實作這一目標的方法幾乎是無限的,您自己的創造力是限制因素。
一種方法是將您的專案檔案配置為不對程式集進行簽名,然后在運行sn.exe以對程式集進行簽名的CI 腳本中設定一個單獨的步驟。但是,如果您只有一個ProjectReference.
另一種方法是利用 MSBuild 是一種編程語言這一事實??,盡管它看起來像一個宣告性 XML 檔案。類似<SignAssembly Condition=" '$(StrongNameKey)' != '' ">true</SignAssembly>, 并且不要<StrongNameKey>在專案檔案中提交該屬性。更改您的 CI 構建以使用dotnet build -p:StrongNameKey=c:\full\path\to\sn.snk
但是,這意味著任何在本地構建您的庫的開發人員都無法生成與您分發的二進制檔案兼容的直接替代二進制檔案。如果有人發現并修復了錯誤,并希望在等待您接受上游錯誤修復時使用他們自己的副本,則他們必須重新編譯所有使用您的包的程式集,以確保他們都使用相同的不同身份比你的二進制檔案。如果他們使用使用您的包的 3rd 方程式集,那么他們將處于非常困難的境地,因為他們還必須重新編譯所有這些程式集以使用他們本地構建的程式集版本,只是因為您沒有提供強名稱鍵。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/375358.html
上一篇:如何獲取ListBox的物件?