.NET проекты OpenSource и сборки со строгим именем?
У IDE NetBeans была поддержка Node.js, поскольку версия 8.1 :
& lt; ...>
Новые функции Основные возможности
Разработка приложений Node.js
- Мастер проекта Node.js
- Новый мастер Node.js Express
]- Улучшенный редактор JavaScript
- Новая поддержка для запуска приложений Node.js
- Новая поддержка отладки приложений Node.js.
& lt ; ...>
blockquote>Дополнительные ссылки:
3 ответа
Для Буферы Протокола , я отпускаю клавишу. Да, это означает, что люди не могут на самом деле положить, что это - исходный двоичный файл - но это делает жизнь значительно легче для любого, кто хочет изменить код немного, восстановить его, и все еще быть в состоянии использовать его от другого блока со знаком.
, Если кто-либо действительно хочет версию Буферов Протокола, которым они могут доверять, чтобы быть определенно законным, созданным с кодом из GitHub, они могут легко создать его сами из источника, которому они доверяют.
я могу, конечно, видеть его с обеих сторон все же. Я думаю, писал ли я проект С открытым исходным кодом, который вращал [приблизительно 111] безопасность , который мог бы быть другим разговором.
Я не отпустил бы клавишу публично. Смысл наличия блока со знаком - то, что люди могут положить, что Вы - единственный, кто коснулся двоичного файла, и поэтому если существует какой-либо незаконный код, добавленный тогда, подписание выключено, и люди знают для не доверия блоку.
блоки Подписания защищают, Вы от других людей, добавляющих "плохо", кодируете к своему двоичному файлу и притворяющийся, что это - законный выпуск.
Не отпускайте ключ.
Вы ДОЛЖНЫ чувствовать себя неудобно, когда публикуете ключ подписи. Это не подпись проекта . Это ВАША подпись . Целостность подписи двоичного файла сохраняется только в том случае, если вы храните свой ключ в секрете. Освобождение ключа подрывает смысл и цель подписанных сборок и строгого именования, что вводит новые возможности для ошибок и, таким образом, делает каждую систему менее надежной. Не отпускать клавишу .
Для DotNetZip я не отпускаю клавишу. Но вот ключевой момент: ключ не принадлежит проекту; это мой ключ . Многие люди просили ключ, чтобы они могли воссоздать подписанный двоичный файл, но это не имеет смысла. Я использую ключ для подписи не только DotNetZip. Любой двоичный файл, подписанный этим ключом, по определению подписан мной. Любые два двоичных файла с одинаковым строгим именем, использующим мой ключ, гарантированно идентичны. Освобождение ключей устраняет эти гарантии и сводит на нет всю цель сильных имен и безопасность, окружающую их.
Представьте, что разработчики выбирают свои собственные номера версий и повторно подписывают модифицированный двоичный файл моим ключом. Теперь в мире будет 2 сборки с одинаковым строгим именем, но с разным содержимым.
Представьте, что я смогу подписать любую сборку ВАШИМ ключом. Если вы выпустили свой ключ, я мог бы добавить любой код, который мне понравился, даже вредоносный код, а затем подписать его и незаметно заменить любой ваш «хороший» подписанный двоичный файл на «плохой». Никто не заметит разницы.
Это не работает. Свободный обмен ключами вообще исключает какие-либо преимущества от использования подписанных сборок.
Если люди хотят изменить код в проекте, а затем повторно использовать измененную версию в сборке со строгим именем, они могут подписать измененную версию своим собственным ключом. Это не трудно.