Ultimamente mi sono imbattuto in alcuni casi in cui un pacchetto su NuGet ha un nome che inizia con "Microsoft", ma in realtà viene caricato da qualcun altro. Ad esempio, prendi Microsoft.TestApi . Apparentemente questo è un wrapper NuGet attorno al progetto TestAPI su CodePlex . Il progetto CodePlex è di Microsoft in quanto vi sono post di blog ospitati in un dominio Microsoft che parlano dettagliatamente del progetto e contengono collegamenti diretti al sito CodePlex. Quindi sono a mio agio che scaricare il pacchetto da lì è sicuro.
Tuttavia, il team che ha realizzato il progetto CodePlex non ha creato un wrapper NuGet. Qualcun altro è andato avanti e ne ha creato uno, che ha ottenuto una certa trazione - 15k download al momento della scrittura. Il proprietario è un account personale, in contrasto con il Microsoft chiaramente utilizzato per altri pacchetti Microsoft. Finora l'unica prova che ho per la provenienza del pacchetto TestAPI è una conversazione su CodePlex dove il proprietario del pacchetto originale sembra che siano un conoscente della persona che ha caricato NuGet.
Ritengo che le credenziali di sicurezza di cui sopra siano deboli e pertanto sono interessato a ottenere la fonte direttamente da CodePlex. Preferirei ottenerlo da NuGet anche se come allora è coerente con tutti i miei altri pacchetti. Ho perso qualcosa nel processo di validazione di NuGet? Forse c'è un processo di firma in cui non importa chi lo carica perché il pacchetto è firmato e testato in modo sicuro in precedenza?