PKI - это инфраструктура, которая позволяет вам выпускать сертификаты, которыми вы подписываете свои двоичные файлы (среди прочего).Вы не подписываете исходный код.
Вы можете создать отдельный сертификат для каждой имеющейся у вас версии программного обеспечения, однако я не видел, чтобы кто-либо использовал его таким образом и для этой цели.
Обычно вы регистрируете несколько сертификатов и используете их для подписания всех выпусков до истечения срока их действия.Даже если срок действия сертификата истекает, это не помешает клиенту продолжать использовать ваше программное обеспечение.