我正在使用GPG为我的git提交签名,因为我所在的项目需要。
但是我使用的是假名,不希望通过我的GPG签名被识别。
在这里:它要求我们只使用真实姓名(例如护照或政府发行的身份证)。
这有什么必要吗?我如何通过GPG保持匿名?
2个回答
5
一般而言,这个建议与CLA(贡献许可协议)相关,该协议定义了知识产权被贡献给公司/项目的条款,通常是在开源许可证下发布的软件。
Ubuntu 在其FAQ中提到,它现在使用版权许可协议(其中贡献者授权Canonical分发贡献物)。Canonical贡献者许可协议是您与Canonical之间的协议,因此,如果您正在使用自己的GPG密钥,并将其附加到对Canonical的贡献中,则其元数据应反映“您”(实际姓名或地址),以便IP(知识产权)得到尊重。Canonical个人贡献者许可协议是这样一个协议。
Ubuntu 在其FAQ中提到,它现在使用版权许可协议(其中贡献者授权Canonical分发贡献物)。Canonical贡献者许可协议是您与Canonical之间的协议,因此,如果您正在使用自己的GPG密钥,并将其附加到对Canonical的贡献中,则其元数据应反映“您”(实际姓名或地址),以便IP(知识产权)得到尊重。Canonical个人贡献者许可协议是这样一个协议。
有一些项目,比如CLAHub(GitHub上的贡献者许可协议),可以使这个过程更加容易,但是如果您在签署贡献者许可协议的情况下使用GPG密钥为开源项目做出贡献,则必须确保信息准确无误。
如果您在其他任何情况下使用GPG密钥,则可以关联任何元数据(名称/电子邮件等)。
- VonC
2
这是“不必要的”。您引用了:
在验证签名时,关键是用于向某人或实体发送消息的公钥实际上确实“属于”预期收件人。仅从某个地方下载公钥并不能完全保证这种关联;故意(或意外)冒充是可能的。
因为我可以看到(并获得)许多不同的“学习者”签名,所以我希望(在某些条件下)确信每个“学习者”是谁,并知道 - 是否是同一个人或者我有任何类型的冒名顶替。
PS:SE家族的Security网站可能是此类问题更好和更相关的位置。
- 推荐|协议
- 仅适用于Ubuntu世界
在验证签名时,关键是用于向某人或实体发送消息的公钥实际上确实“属于”预期收件人。仅从某个地方下载公钥并不能完全保证这种关联;故意(或意外)冒充是可能的。
因为我可以看到(并获得)许多不同的“学习者”签名,所以我希望(在某些条件下)确信每个“学习者”是谁,并知道 - 是否是同一个人或者我有任何类型的冒名顶替。
PS:SE家族的Security网站可能是此类问题更好和更相关的位置。
- Lazy Badger
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接