Nuget.org现在可以允许Nuget包的作者对他们的包进行签名,这样包的用户就可以验证包没有被篡改,并且它建立了对包作者的某种身份验证。这是宣布这一消息的博客。
听起来任何新的东西都需要对包进行签名,但不会对过去的包进行签名。这是正确的吗我怎么知道包裹已经签名
我使用的是版本15.8.5以上的Visual Studio 2017和Nuget Package Manager 4.6.0
不,上传到nuget.org不需要对包进行作者签名。有更多关于签名包的文档,包括参考页和签名包。
NuGet.org也将签署包裹。在我写这篇文章的时候,大多数流行的包已经进行了存储库签名,所有其他包最终都将进行repo签名。是的,作者签名和回购签名是有区别的,所以有些包会有两个签名。
要检查包装是否已签名,可以按照以下说明进行操作。或者在NuGet包资源管理器中打开包,尽管你需要知道要查找什么,因为我不确定是否有任何明确表示未签名的内容。或者,您可以使用任何知道zip的程序打开nupkg(或者,如果它是您已经恢复的包,请转到全局包文件夹%USERPROFILE%.nugetpackages中的文件夹,并查找名为.signature.p7s的文件。