有什么理由将 .snk 文件与项目源一起发送？

Question

我时不时地在网络上看到一个示例项目，其中包含一个 .snk 文件，用于使用强名称对编译结果进行签名。

据我所知 这是完全错误的< /a> - 一旦 .snk 文件被公开，任何人都可以生成一个程序集，该程序集可用于替换由原始代码供应商提供但现在包含恶意代码的程序集。我认为发送 .snk 文件的人不会认真对待这种风险，只是发送该文件，因为否则该项目将无法编译现成的。

除了“方便”之外，还有什么理由传送 .snk 文件吗？

Answer 1

这是一个非常有效的问题。我代表我的 部分 不提供 SNK 文件，但提供说明如何自行生成并进行所需的更改（例如启用 InternalsVisibleTo）。

我认为目前的做法已经推动了我的微软从VS2005开始对SNK处理的改变。使用密钥容器需要使用未记录的 MSBUILD 项 KeyContainerName 手动编辑 CSPROJ 文件...VS 的默认设置是将 SNK 复制到项目目录中，这很方便，但恕我直言是错误的。

Answer 2

我能想到的唯一原因是允许对您的 dll 进行直接替换...

当然，通常我会说“如果您想要直接替换，请不要签署您的 dll”。但如果它安装在 GAC 中，签名是先决条件。 （或者是，我上次知道）。

因此允许替换安装在GAC 中的dll。这是我能想到的唯一合理的理由...

Answer 3

至少，我看不出有什么理由将私钥和公钥对一起发送。如果您需要发送源代码，您也可以使用 .pfx，它通过您需要签署程序集的密码提高了安全性。

无论如何，将 .snk 文件添加到源代码管理似乎是许多开源项目中的常见做法（不好的做法）。这是一个非常好的问题！