Код подписи для Github -> MyGet -> Nuget

У нас есть фрагмент кода.NET, который занимается интеграцией с нашей платформой. Мы хотим поделиться этим с другими, чтобы облегчить интеграцию с нами.

Чтение в режиме онлайн, подход с использованием GitHub для исходного кода, сборок MyGet для CI и Nuget для сборок релизов кажется очень привлекательным решением.

У нас есть сотрудники службы безопасности, которые начинают задавать вопросы.

Как потребители могут убедиться, что пакет, который они скачали, действительно от нас? В случае, если кто-то другой устанавливает канал с именем, похожим на нас, с измененным кодом.

Кажется, что стоит подписать код, но где мы храним сертификат? Я просматривал различные другие репозитории github, и некоторые хранят файл snk, другие имеют ссылку на файл pfx где-то вне контроля исходного кода.

Как можно интегрировать что-то подобное с процессом сборки в MyGet? Делаем ли мы неподписанные сборки в MyGet, а затем делаем дополнительный шаг при окончательной публикации в NuGet?