最近,我的一位同事在
因为更改配置文件很容易,且不需要任何身份验证/授权。我想知道,是否有一种方法可以区分真正的我和假冒我的人?
注意:我的同事和我在回购中拥有类似的推送权限。 实际上,我们团队中的所有开发人员都是如此。 我们大多数人使用
.gitconfig
中使用了我的电子邮件和姓名来推送master
分支的代码(道德上是错误的,但这主要是为了好玩)。由于git
从配置文件中获取名称,而不是实际的ssh
或登录名,所以其他人都能看到我的名字在提交记录中。因为更改配置文件很容易,且不需要任何身份验证/授权。我想知道,是否有一种方法可以区分真正的我和假冒我的人?
注意:我的同事和我在回购中拥有类似的推送权限。 实际上,我们团队中的所有开发人员都是如此。 我们大多数人使用
ssh
的方式推送到git。
fetch
时,您应该检查传入的提交并确定是否信任它们,然后再合并或使用它们。在push
时,您应该让接收系统检查传入的提交并确定是否信任它们,然后再接受它们。 - torek-s
只会添加一个文本行,内容为“Signed-off-by”。它是-S
(大写字母 S),用于对提交进行PGP签名。 - torek