J'aimerais comprendre certaines des meilleures pratiques en matière de signature de code. Nous avons une application basée sur Eclipse et pensons qu'il serait approprié de signer nos plug-ins. Cela a soulevé beaucoup de questions:Signature de code dans le cadre du processus de construction
Can/Si la clé privée dans contrôle de code source?
Devrions nous signer le code dans le cadre de notre processus de construction de nuit ou en tant que partie de notre processus de version?
Est-ce que le code doit être signé automatiquement , ou est-ce qu'il y a une raison pourquoi cela devrait être une étape manuelle?
Mon inclination est-à-dire « Oui », « nuit », et « automatiquement », mais je pouvais voir un argument pour la signature des produits de libération. Je pourrais même avancer l'argument selon lequel SQA devrait signer le code après l'avoir vérifié, bien que cela perturbe vraiment notre processus de publication.
Comment les autres personnes gèrent-elles cela?