Nuget.org 现在能够允许 Nuget 包的作者对他们的包进行签名,这样包的用户就可以验证包没有被篡改,并且它内置了对创建包的作者的一些身份验证包裹。这是 blog宣布这一点。
听起来任何新的东西都需要对包进行签名,但过去的包不会被签名。这个对吗? 我怎么知道包已经签名?
我使用的是 Visual Studio 2017 15.8.5 以上版本和 Nuget Package Manager 4.6.0
最佳答案
不,没有要求包必须经过作者签名才能上传到 nuget.org。还有一些关于签名包的文档,包括 reference page和 signing packages .
NuGet.org 还将签署包。在我写这篇文章的时候,大多数流行的包都已经对存储库进行了签名,所有其他包最终都会进行 repo 签名。是的,作者签名和 repo 签名是有区别的,所以有些包会有两个签名。
要检查一个包是否被签名,你可以follow these instructions .或者在 NuGet Package Explorer 中打开包,尽管您需要知道要查找的内容,因为我不确定是否有任何内容明确表示未签名。或者您可以使用任何知道 zip 的程序打开 nupkg(或者如果它是您已经恢复的包,请转到全局包文件夹 %USERPROFILE%\.nuget\packages 中的文件夹并查看对于名为 .signature.p7s 的文件。
关于visual-studio - 您如何知道 Nuget 包是否已签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53213946/