gpt4 book ai didi

process - 代码签名作为构建过程的一部分

转载 作者:行者123 更新时间:2023-12-04 17:13:56 26 4
gpt4 key购买 nike

我想了解一些关于代码签名的最佳实践。我们有一个基于 Eclipse 的应用程序,并认为对我们的插件进行签名是合适的。这引发了很多问题:

  • 私钥可以/应该在
    源头控制?
  • 我们是否应该签署代码作为
    我们的夜间构建过程或作为一部分
    我们的发布过程?
  • 代码是否需要签名
    自动,还是有原因
    为什么这应该是一个手动步骤?

  • 我倾向于说"is"、“每晚”和“自动”,但我可以看到只签署发布产品的论据。我什至可能会提出 SQA 应该在他们验证代码后签署代码的论点,尽管这真的会扰乱我们的发布过程。

    其他人如何管理这个?

    最佳答案

    这取决于您希望您的私钥有多安全,您可能不希望具有源访问权限的临时员工拥有完全访问权限。

    在我的工作中,我们执行以下操作:

    “测试标志”二进制文件作为我们日常构建的一部分,并带有已 checkin 的 key 。这需要在机器上安装测试根证书以信任二进制文件,但如果这些位部署在公司外部,它们将不被信任。

    每周(对于外部版本),我们使用真实 key 进行签名。这是通过一个单独的、有点手动的过程完成的。只有少数人可以使用 key 来签署产品。

    关于process - 代码签名作为构建过程的一部分,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1329759/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com