检测 push --mirror 的 Git 钩子

如果您真的想使用钩子来完成此操作，则要使用的钩子将是 pre-receive。您无法直接检测它是否为镜像推送，因为发送的数据中没有关于其的任何内容，但您可以很聪明地几乎每次都正确地获取到。pre-receive钩子获取要更新的引用列表，包括旧值和新值，如果以非零状态退出，则整个推送都会被取消。镜像推送的主要特征可能是它还会按原样推送远程分支。我想不出任何正常情况下您会这样做的情况，所以您可以进行检查，例如：

#!/bin/bash
while read old new ref; do
   if [[ "$ref" =~ "^refs/remotes/.*" ]]; then
        echo "You're pushing remote branches - did you use 'push --mirror'?"
        echo "Rejecting push"
        exit 1
   fi
done

任何push --mirror*都会触发此钩子，因此它应该适用于您；当然，这有点过于热心，但除非您打算在中央仓库中维护远程分支，否则不会有影响。 _{*除了一个非常手动的操作，即有人通过手动指定git push --mirror <url>从没有远程的仓库推送，但我真的希望您不必担心这个。}

---

我仍然建议使用gitolite。它并不能完全阻止镜像推送，但可以在一定程度上提供帮助，并提供许多其他有用的功能。请注意，gitolite允许您添加自己的钩子，因此想要使用此功能不应妨碍您获取所有gitolite好处。如果您不打算使用Gitolite，则应将core.logAllRefUpdates设置为true以确保在出现错误推送时可以进行恢复。
与此问题相关的gitolite会为您完成以下事项：

• 允许您限制大多数开发人员只能访问关键分支，并防止他们删除任何内容（使用而不是权限），因此他们可能造成的损害是有限的-删除分支可能是push --mirror的最糟糕部分
• 更全面地记录访问，以便如果某人造成了损坏，您可以准确地看到是谁以及他们做了什么，并避免将来出现类似情况

我不建议使用钩子来“修补”安全性。它们没有为这种访问控制而设计。

你可以考虑使用 gitolite。它可以让你在预设的分支上控制访问权限。

请参考 https://github.com/sitaramc/gitolite/wiki