公共开源项目使用什么签名方法？

Question

我正在 CodePlex 上发布一个开源库，并希望 dll 文件具有强名称，以便可以将它们添加到 GAC。

签名的最佳选择是什么？

我应该使用 SNK 吗？如果是这样，每个人都可以访问密钥。我对每个人都可以访问没有问题，但这是一个好方法吗？

我应该使用 PFX 吗？如果是这样，是否意味着其他下载源代码的人无法构建解决方案？

我喜欢做的是我是唯一一个可以访问密钥的人，这样签名的程序集也具有一定程度的真实性，但同时不要阻止其他开发人员下载、构建或更改自己的源代码，并能够发布主项目的更改。

Answer 1

我们已经为Noda Time 讨论过这个问题。我相信共识是​​，当我们使用强命名时，我们将拥有一个只有少数核心开发人员可以访问的密钥，并将其用于发布构建 - 但还有另一个公开可用的密钥。因此，任何想要确保他们只针对他们知道已被项目成员“批准”的构建运行的任何人都可以针对私有密钥的公钥令牌构建，但任何人都可以下载并构建“不那么受信任”版本。

拥有公开可用密钥的替代方法是让大多数构建配置没有强命名 - 但我更喜欢每个构建都被强命名的版本，这样它与完整版本构建之间的差异很小。

Answer 2

我在 CodePlex 上对我的项目所做的是发布与 SNK 强烈签名的版本。但是，此 SNK 不受源代码控制且不公开可用。因此，我是唯一可以使用此密钥对程序集进行强烈签名的人。我解释了here。