Chciałbym poznać niektóre z najlepszych praktyk w zakresie podpisywania kodu. Mamy aplikację opartą na platformie Eclipse i myślimy, że byłoby właściwe podpisanie naszych wtyczek. Ta wzbudziła wiele pytań:Podpisywanie kodu w ramach procesu budowania
może/powinien być klucz prywatny w kontroli źródła?
Czy powinniśmy podpisać kod jako część naszej nocnej kompilacji lub jako część naszego procesu wydawania?
Czy kod zostanie automatycznie podpisany , czy jest powód, dla którego , dlaczego to powinien być krok ręczny?
Moje nachylenie jest powiedzieć: „Yes”, „nocnej” i „automatycznie”, ale widziałem tylko argument za podpisanie produkty uwalnianiu. Mogę nawet wysunąć argument, że SQA powinien podpisać kod po jego weryfikacji, chociaż byłoby to naprawdę nieładne z naszym procesem zwalniania.
Jak radzą sobie z tym inni?