Ich möchte einen vertrauenswürdigen Pfad für die Softwareentwicklung erstellen. Diese bedeutet, dass jede Änderung in Code muss vom Autor und einem Prüfer unterzeichnet werden, bevor sie akzeptiert werden. Diese Signaturen für die Änderungen müssen zum Release-Zeitpunkt überprüfbar sein, oder es muss einige andere Mittel geben, um sicherzustellen, dass das Repository manipuliert worden sein kann, oder zusätzliche Änderungen hinzugefügt wurden.Trusted Entwicklungspfad in Git mit Signaturen
Das Versionskontrollsystem, das ich für diesen Zweck verwenden möchte, ist Git, aber andere Optionen werden ebenfalls akzeptiert. Die Signierung kann über GnuPG oder SSL-Zertifikate erfolgen.
Der Workflow ich grob wäre denke:
- Aktuelle prüft Stamm
- Veränderungen in der Branche von einem oder mehreren Entwicklern entwickelt werden abzweigt
- Ein oder mehrere Entwickler die Änderungen vorgenommen unterzeichnen der Zweig
- Ein Rezensent und prüft die Änderungen
- Bewertungs die Änderungen unterzeichnet von der Niederlassung gemacht
- Branch „verschmolzen“ in der aktuellen nachgewiesenen Stamm
Merging muss nicht narrensicher sein wie die nicht überprüfen Änderungen nicht-zusammenführbar Stamm sein müßte - nur, dass vor einen Release, muss es eine sein Möglichkeit, zu überprüfen, ob nicht geprüfte (unsigned) Änderungen in der Amtsleitung sind. Und im Allgemeinen muss Manipulation nicht verhindert werden, nur entdeckt werden.
Ich möchte eine kurze Anleitung, wie Sie dies einrichten und wie jede Operation durchgeführt wird. Sobald ich ein paar Hinweise habe, kann ich die Besonderheiten selbst herausfinden.
Auch ich weiß technisch schon über 'git tag -s', aber ich bin unsicher, wie man es auf dieses spezielle Problem anwendet.
Es gab bisher keine konkreten Antworten, die die ganze Geschichte wiedergeben, also lasse ich es offen. Ich probiere selbst einige Möglichkeiten aus und wenn ich mir eine konkrete ausdenke, werde ich die Antwort hier posten. – Nakedible