NuGet al momento non supporta la firma del codice per i file pacchetto o nuspec, quindi l'autore del pacchetto non può essere identificato. Questo problema è stato sollevato come richiesta di funzionalità nel 2010, ma non ha ricevuto molta attenzione e non è stato implementato. Vedi link .
Attualmente un pacchetto già esistente NuGet può essere aggiornato solo dallo stesso account che è stato originariamente caricato, ma questo non verifica l'autore effettivo del codice che credo sia quello che stai ricevendo.
Al di fuori di NuGet, esiste ancora la firma del codice per gli assembly. Sulla base di questo ti suggerirei idealmente:
- Utilizza solo assembly firmati da un editore attendibile.
- Utilizza i riferimenti ai nomi forti nei tuoi progetti (che associa il progetto / gli assiemi a una chiave pubblica specifica).
- Verifica la firma per ogni assembly scaricato.
Forse un'altra preoccupazione è che a un pacchetto NuGet possono essere associati script di installazione / disinstallazione di PowerShell che vengono eseguiti automaticamente quando si utilizza la riga di comando del pacchetto NuGet. NuGet 1.4+ supporta la firma del codice per gli script di PowerShell, quindi suggerirei di lasciare il criterio di esecuzione di PowerShell su RemoteSigned.
In alternativa, non utilizzare NuGet e scaricare il file .msi / .exe da una versione ufficiale e verificare la firma sul file.