React Native Windows项目NuGet包签名问题解析与解决方案

背景概述

在React Native Windows项目的开发过程中，团队近期遇到了一个与NuGet包代码签名相关的技术挑战。由于内部政策变更和配置问题，项目团队不得不临时停止对稳定版本构建的NuGet包进行代码签名，以确保能够继续发布这些构建包。

问题影响

这一临时调整带来了几个重要的影响：

1. 无法将Microsoft.ReactNative.*系列包发布到NuGet.org官方仓库，因为该平台要求所有包必须经过代码签名。

2. 项目团队改为将未签名的包发布到公共的ADO(Azure DevOps)源上。

3. 使用Fabric架构或通过--experimentalNuGetDependency参数使用Paper架构的用户需要特别注意配置变更。

临时解决方案

对于需要使用这些NuGet包的用户，项目团队提供了以下临时解决方案：

用户需要在项目根目录的NuGet.config文件中添加react-native-public源，配置示例如下：

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <packageSources>
    <clear />
    <add key="react-native" value="https://pkgs.dev.azure.com/ms/react-native/_packaging/react-native-public/nuget/v3/index.json" />
    <add key="NuGet.org" value="https://api.nuget.org/v3/index.json" />
  </packageSources>
  <disabledPackageSources>
    <clear />
  </disabledPackageSources>  
</configuration>

问题解决进展

项目团队已经成功解决了代码签名问题，具体表现为：

1. 主分支(main)和0.74及以上版本的稳定分支已经恢复了代码签名功能。

2. 团队计划在问题完全解决后，为每个受影响的包发布至少一个新的稳定版本到NuGet.org。

3. 从源代码构建项目的用户不会受到此问题的影响。

技术细节解析

代码签名在软件分发中扮演着重要角色，它通过数字签名验证软件包的来源和完整性。在.NET生态系统中，NuGet包的代码签名尤为重要，因为它：

1. 确保包在传输过程中未被篡改
2. 验证发布者的身份
3. 满足企业级安全合规要求

当签名机制出现问题时，项目团队需要权衡安全性和可用性，本次临时解决方案就是在确保用户能继续使用的同时，尽快修复签名机制。

用户建议

对于React Native Windows用户，建议：

1. 关注项目更新，及时获取已修复签名的稳定版本
2. 如果使用临时源，注意未来迁移回官方源的时间点
3. 对于企业用户，建议评估临时源的可用性是否符合内部安全策略

项目团队将持续优化发布流程，确保类似问题不再发生，为用户提供更稳定的依赖管理体验。