NuGet no admite actualmente la firma de código para paquetes o archivos nuspec, por lo que no se puede identificar realmente al autor del paquete. Este problema se planteó como una solicitud de características en 2010, pero no recibió mucha atención y no se ha implementado. Consulte enlace .
Actualmente, un paquete ya existente NuGet solo puede actualizarse con la misma cuenta en la que se cargó originalmente, pero esto no verifica el autor real del código, que creo que es lo que está obteniendo.
Fuera de NuGet, la firma de código para ensamblajes aún existe. Basado en esto, sugeriría que idealmente:
- Utilice solo ensamblajes firmados de un editor de confianza.
- Use referencias de nombre seguro en sus proyectos (que vinculan el proyecto / ensamblajes a una clave pública específica).
- Verifique la firma de cada ensamblaje que descargue.
Posiblemente otra preocupación es que los paquetes de NuGet pueden tener adjuntos scripts de instalación / desinstalación de PowerShell que se ejecutan automáticamente cuando se utiliza la línea de comandos del paquete de NuGet. NuGet 1.4+ admite la firma de código para los scripts de PowerShell, por lo que sugeriría dejar la política de ejecución de PowerShell en RemoteSigned.
Como alternativa, no uses NuGet y descarga el archivo .msi / .exe de una versión oficial y verifica la firma en el archivo.