签署应用程序集的风险

Question

我们考虑将我们的程序集之一放入 GAC 中以进行版本控制。 这意味着必须对该程序集进行签名，并且它使用的每个其他程序集（例如第 3 方）也必须进行签名。只有第 3 方供应商可以进行签名。是否存在某些供应商不提供签名版本而我们限制自己的实际风险？

Answer 1

该风险不适用。

仅当程序集仅依赖于其他 GAC 程序集时，您才能将其放入 GAC 中。
所以您的第 3 方库应该已经在 GAC 中。

如果不是，您可以伪造它（请参阅@Preet Sangha），但随后您将成为这些库的发布者。并且与其他应用程序共享这些二进制文件将不会发生。

Answer 2

您始终可以使用 ilmerge 签署第三方协议。

我的博客上有一个链接： http://preetsangha.blogspot .com/2007/10/signing-third-party- assembly.html

Answer 3

是的，存在风险，但如果第三方供应商适合 GAC，则应与其签署。如果没有，您应该能够要求他们签名。

IMO，这是一种风险，但不是主要风险，特别是如果您有一个可以验证是否已全部签名的现有解决方案。