我们使用GitHub,有一个要求执行提交签名。经过研究,我不清楚提交签名解决了什么问题。据我了解,有一个“本地源代码”被提交到一个“本地repo”,然后被推送到一个“远程repo”。因此,有三个框和两个箭头从本地源文件指向远程存储库,形成一个有向图。对于最终用户,流程是相反的。
在所描述的模型中,似乎我们希望授权发生在推送到远程repo时;而提交签名几乎没有好处。
Git SCM手册,7.4 Git工具-签署您的工作没有说明它解决了什么问题。然而,它告诉我去寻找答案。
在所描述的模型中,似乎我们希望授权发生在推送到远程repo时;而提交签名几乎没有好处。
Git SCM手册,7.4 Git工具-签署您的工作没有说明它解决了什么问题。然而,它告诉我去寻找答案。
每个人都必须签名
签署标签和提交非常好,但如果您决定在正常工作流程中使用此功能,则必须确保团队中的每个人都知道如何执行此操作。如果不这样做,您最终将花费大量时间帮助人们弄清楚如何重写已签名版本的提交。在采用此作为标准工作流程的一部分之前,请确保您了解GPG和签署事物的好处。
我认为Git工程师们对Git工作流程进行了建模。他们识别出了一个问题(或多个问题),并引入了“提交签名”安全控制来解决它。我想知道他们通过“提交签名”解决了哪些问题。
我认为发生的事情是人们混淆/混淆了身份验证和授权(Authentication with Authorization),或者可能是代码完整性。不幸的是,身份验证并不是授权或代码完整性,尽管愿意这样做。
git提交签名解决了什么问题?