Я хотел бы понять некоторые из лучших практик в отношении подписи кода. У нас есть приложение на основе Eclipse, и мы считаем целесообразным подписать наши плагины. Это вызвало много вопросов:
Может/должен ли закрытый ключ находиться в системе контроля версий?
Должны ли мы подписывать код как часть нашего ночного процесса сборки или как часть нашего процесса выпуска?
Должен ли код подписываться автоматически, или есть причина, по которой это нужно делать вручную?
Я склоняюсь к тому, чтобы сказать «Да», «Ночной» и «Автоматически», но я вижу аргумент в пользу подписания только выпускаемых продуктов. Я мог бы даже выдвинуть аргумент, что SQA должен подписать код после того, как они его проверили, хотя это действительно нарушило бы наш процесс выпуска.
Как другие люди справляются с этим?