ビルド/パブリッシュプロセスでコード署名をどこに配置する必要がありますか？

Question

私は最近、実行可能ファイルに署名できるという喜びを得ました。今私は、アセンブリの署名が必要なビルド/パブリッシュプロセスで適切な場所を確立しようとしています。

私の最初の本能は、（ビルド後のイベントで）できるだけ早く署名して、署名されているものがビルダーの意図したものであることを確認することでした。

しかし、これは（我々の場合には）望ましくないかもしれない秘密鍵への完全なアクセス権を持っているすべての開発者が必要となります。

もう1つのアイデアは、私たちが公開している場合にのみ署名することです。そのため、少数の人ではめったに署名が行われません。しかし、が遅すぎるですか？

ベストプラクティスは存在しますか？

Answer 1

Delay Signing an Assembly：

組織は、開発者が日常的にへのアクセスを持って ないことを厳重に鍵ペアを持つことができます。公開鍵はしばしば ですが、秘密鍵へのアクセスは少数の者に限定されています（ ）。厳密な名前でアセンブリを開発する場合、厳密な名前のターゲットアセンブリを参照する各 アセンブリがターゲットアセンブリに厳密な 名前を与えるために使用する公開鍵の トークンが含まれています。これには公開キーが の開発プロセス中に利用可能であることが必要です。

あなたは一般的にちょうど アセンブリを出荷する前に（、厳密な名前の署名を提出 が、いくつかの後の段階まで、実際の署名を延期ポータブル実行可能（PE）のスペース を確保するために、ビルド時に遅れたり、部分的に署名を使用することができます）。