“作者”可以吗？ Nuget上的字段被欺骗了？我可以相信该文件的真实性吗？

Question

我正在浏览某位作者的 Nuget 库，并看到有问题的内容……这些内容与我之前见过的一些作品的质量不一样。

我如何知道 Nuget 包的作者确实是那个人？

我可以将这种信任扩展到 Nuget 的内置更新过程吗？

Answer 1

“作者”只是 .nuspec 文件中包含的元数据。请参阅（http://docs.nuget.org/docs/reference/nuspec-reference）。这可能与包所有者/创建者不同。

在 NuGet 刚刚起步时，有一些人正在为他们没有编写的项目创建包，主要是为了在存储库中获取包。

现在 NuGet 已经更加成熟，建议人们联系项目所有者并让他们创建自己的 NuGet 包。

对于已经由作者以外的其他人上传到存储库的包，作者可以请求将所有权转移给他们。

由于无法保证包创建者是原始作者，因此我不确定这如何影响信任。但是，如果您安装了一个软件包，那么可以肯定地说，更新要么来自创建初始软件包的同一个人，要么可能已转移给项目的实际作者。

换句话说，信任度可能与您安装的原始软件包相同或更好（如果是实际作者），但很少会差。

希望有帮助。

Answer 2

我知道这是一个相当老的问题，但这是我找到的最佳答案。我想将 0.02 美元添加到收银台中。我在 nuget.org 上有几个基于另一个包的包。 Unity.Mvc3.VB，Unity.Mvc3.DLL，我正在开发 Unity.Mvc4.VB 包。它们都基于 Unity.Mvc3 来自 devtrends。 DLL项目基本上只是安装了Unity.Mvc3的程序集引用，没有c#源代码文件，这样在其他语言的项目中使用起来更容易一些。 VB 包包括 C# 源文件的 VB.Net 版本。由于我除了DLL包中的nuspec文件之外没有写任何东西，所以我只列出了 Paul Hiles 作为作者，我作为包所有者。

对于 VB 包，我再次被列为所有者，但对于作者，我列出了 Paul 和我自己，并在括号中列出了我们的每个贡献，如下所示：

这个想法是我将功劳归功于我的衍生作品的原作者。

Answer 3

基利曼的回答是正确且全面的。我想补充一点，社区应该开始在 NuGet Gallery 中撰写 nuget 包的评论。评论很少且相差很远，并且它们有一个星级评级系统，因此如果您认为某个包没有用，或者您对某个特定包有疑虑，请将它们写在那里并帮助您的程序员同事。