提问人:T.S. 提问时间:8/30/2023 最后编辑:Mustafa ÖzçetinT.S. 更新时间:8/30/2023 访问量:40
nuget 包中第三方 DLL 的数字签名是否会产生潜在的负面影响?
Can digital signing of 3rd party DLLs in nuget packages have potential negative effects?
问:
我们的客户要求对分布式输出中的所有程序集进行数字签名。许多第三方开源程序集未进行数字签名。例如,Amazon SDK 没有数字签名。我们在输出中使用我们的数字签名对它们进行签名(< - 请注意这一点)。
这样做的动机是减少生成过程,该过程会生成许多不同的输出,并且我们一遍又一遍地对相同的程序集进行签名。对时间戳服务器的调用有时很慢,这些签名占生成时间的 25%。但是,如果所有程序集都在其保存文件夹中进行了预签名,则唯一需要签名的项目是我们生成的程序集。package
但我想知道这是否对潜在的校验和、动态加载、许可、DLL 大小计数有一些潜在影响;可能是潜在的第三方组件到组件验证。想知道只对生成服务器上的所有程序集进行签名是否安全?C:\Users\buildUser\.nuget\packages
同样,我们已经对它们进行了签名,但是软件包包含一堆其他DLL,这些DLL不会被拉入输出中,我想知道签署所有这些是否会产生负面影响。谢谢dotnet publish
答: 暂无答案
评论