Git提供了使用GPG私钥签署注解标签的选项,但是仅接受标签声明的来源有什么问题呢?如果标签不修改提交,那么伪装的标签会造成什么损害?
仅接受标签声称的来源有什么问题吗?
问题在于你无法保证它是正确的,你必须信任每个有权限或没有权限访问存储库的人不会虚假创建标签。签名可以保证(至少尽可能地)创建标签的人就是你认为的那个人。
如果标签不改变提交记录,伪造的标签会造成什么损害?
没有。你似乎混淆了两个不同的概念。标签和提交记录是完全独立的对象——标签指向提交记录,但标签本身并不是提交记录。因此,标签永远不会更改提交记录。这也是潜在的危险所在:虚假标签不会意外更改提交历史,并且更容易被忽视。