Důvěryhodná cesta vývoj v gitu s podpisy

hlasů
6

Chtěl bych vybudovat důvěryhodnou cestu pro vývoj softwaru. To znamená, že každá změna v kódu musí být podepsány autorem a jeden recenzent, než bude přijata. Tyto podpisy pro změny musí být ověřitelné v době vydání, nebo musí existovat nějaké jiné způsoby ujistěte se, že úložiště může nebyly porušeny, nebo přidat další změny.

Řídící verze systému, který jsem očekával použít pro toto je git, ale jiné možnosti jsou také akceptovány. Podpis může být pomocí GnuPG nebo SSL certifikátů.

Pracovní postup Přemýšlím by bylo hrubě:

  1. Aktuální ověřený kufr je rozvětvená
  2. Změny jsou vyvinuty v oboru jedním nebo více vývojářů
  3. Jeden nebo více vývojářů podepsat změny provedené u pobočky
  4. Recenzent recenze a testy provedené změny
  5. Recenzent podepíše změny provedené pobočkou
  6. Obor je „sloučeny“ do aktuálního ověřeného trupu

Slučování nemusí být stoprocentně, jako je nezkontrolované změny by musela být unmergeable do kufru - jen, že před vydáním, musí existovat způsob, jak zjistit, zda existují nějaké Nezkontrolované (unsigned) změny v kufru. A obecně při zásazích, nemusí být zabráněno, pouze detekována.

Rád bych krátký návod, jak toto nastavení a jak je každá operace provedena. Poté, co jsem si pár rad, mohu zjistit specifika sám.

Také, už vím o ‚git tag -s‘ technicky, ale jsem si jistý, jak to platí pro tento konkrétní problém.

Položena 11/03/2010 v 09:37
zdroj uživatelem
V jiných jazycích...                            


3 odpovědí

hlasů
2

Tyto změny nebudou podepsány dokud označit. Cokoliv před tímto bodem může být ověřena autorem nebo jiným out-of-band mechanismu, ale ne zevnitř git.

git může ověřit, že změna je dědictví je správné, ale jen podepsal tag může ověřit změnu je samo o sobě správné.

Pro vaší práce, můžete si jen najít sami značkování hodně.

Odpovězeno 11/03/2010 v 10:44
zdroj uživatelem

hlasů
0

Se můžete přihlásit svou značku s GPG klíč s volbou -s ve značce git tag -s v0.1.0:

-s

   Make a GPG-signed tag, using the default e-mail address's key

Ale nemůžete podepsána dopustit.

Odpovězeno 11/03/2010 v 10:19
zdroj uživatelem

hlasů
0

Git je vhodným kandidátem, neboť:

  • každý commitů jsou již podepsány
  • SHA1 klíč pro každý commit je dost, aby se ujistili, že všechno repo nebyl změněn
  • git tag -s lze použít podepsat spáchat někdo nedělal ( git tag -mje jasnější )

Tak:

  1. Aktuální ověřený kufr je rozvětvená
    git checkout -b tag_for_last_verified_trunk_content zkouška # větev zkouška
  2. Změny jsou vyvinuty v oboru jedním nebo více vývojářů
    [Práce ...] git commit -m -s "dev1 komentář" ...
  3. Jeden nebo více vývojářů podepsat změny provedené u pobočky

    Už se stalo s jejich commitů, přidáním podepisováním čáry na konci zprávy komitu : viz tuto stránku pro vysvětlení na podepsané-off procesu.

    Podepsal-off-by: uživatelské jméno 
  4. Recenzent recenze a testy provedené změny

     git tag -m „testování“ Testování # odkazují na aktuální dopustit, 
                                    dovolovat dev pokračovat s dalšími změnami
  5. Recenzent podepíše změny provedené pobočkou
    git tag -m „testovaný“ testovaný testování # umístit značku na stejném SHA1 než 
                                         dále jen „zkoušení“ tag
  6. Obor je „sloučeny“ do aktuálního ověřeného trupu
    git checkout kufr a git merge testován

Cyryl Plotnicki-Chudyk zmiňuje v komentáři , že jelikož git 1.7.9 (leden 2012, téměř dva roky po této odpovědi), můžete GPG podepsat jakýkoli spáchat chcete pomocí git commit -S.
(Viz spáchání ba3c69a9 nověji rafinovaného dopustit df45cb3 )

Odpovězeno 11/03/2010 v 10:04
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more