Mi piacerebbe capire alcune delle migliori pratiche relative alla firma del codice. Abbiamo un'applicazione basata su Eclipse e pensiamo che sarebbe opportuno firmare i nostri plug-in. Questo ha sollevato un sacco di domande:Code Signing come parte del processo di compilazione
può/deve la chiave privata in controllo del codice sorgente?
Dovremmo firmare il codice come parte di il nostro processo di compilazione notturna o come parte della nostra procedura di rilascio?
Il codice deve essere firmato automaticamente oppure esiste un motivo perché dovrebbe essere un passaggio manuale?
La mia inclinazione è quella di dire: "Sì", "Nightly" e "automaticamente", ma ho potuto vedere un argomento per la firma solo i prodotti di rilascio. Potrei persino argomentare che SQA dovrebbe firmare il codice dopo averlo verificato, anche se ciò significherebbe davvero compromettere il nostro processo di rilascio.
Come gestiscono le altre persone?