Me gustaría conocer algunas de las mejores prácticas con respecto a la firma de código. Tenemos una aplicación basada en Eclipse y consideramos que sería apropiado firmar nuestros complementos. Esto planteó muchas preguntas:Código de firma como parte del proceso de compilación
CAN/En caso de que la clave privada sea en control de código fuente?
¿Deberíamos firmar el código como parte de nuestro proceso de creación nocturno o como parte de nuestro proceso de lanzamiento?
¿Debe el código estar firmado automáticamente, o hay un motivo por qué eso debería ser un paso manual?
Mi inclinación es decir, "Sí", "noche", y "automáticamente", pero pude ver un argumento para firmar solamente los productos de liberación. Incluso podría argumentar que SQA debería firmar el código después de haberlo verificado, aunque eso realmente interferiría con nuestro proceso de lanzamiento.
¿Cómo lo gestionan otras personas?