个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
24
4
Github supports使用 PGP key 签署提交。
我们有一个开源项目,接受没有 PGP key 的人的贡献。安全对我们来说至关重要,因此我们决定每个 merge pull 请求的人都将使用他的 PGP key 签署 merge ,因此每个实际提交将由作者直接签署,和/或通过 merge 。
设置持续集成构建以确保这确实发生的最佳方法是什么?如果有人在没有使用给定授权 key 列表中的 PGP key 对其进行签名的情况下将代码提交或 merge 到主存储库中,我们希望构建失败,警报响起,并且可能恢复提交/merge 。
我们正在使用 github,所以我想知道 github hooks 是否有帮助。我相信我们将 Jenkins 用于 CI,但这可能无关紧要,因为它将成为一个自定义脚本。
澄清一下:该项目接受开源开发人员的贡献,我们不要求他们中的每一个都拥有 PGP key 。然而,在 github 中每个拥有 merge 权限的人必须有一个 PGP key ,我建议的构建将验证这一点。 merge 提交本身将被 PGP 签名,即使不是每个提交都是。
最佳答案
更新(2021 年 4 月):
参见“Flag unsigned commits with vigilant mode”:
To improve security and confidence in the authenticity of your contributions, you can flag commits and tags on GitHub.com that are attributed to you but not signed by you.
With vigilant mode enabled (now available in beta), unsigned commits attributed to you are flagged with an Unverified badge.
This can alert you and others to potential issues with authenticity.The author and committer of a Git commit can easily be spoofed.
For example, someone can push a commit that claims to be from you, but isn’t. >Like showing a passport, committers can increase trust in their commits by signing them with a GPG or S/MIME key.And now, when you enable vigilant mode, commits will be flagged if they’re attributed to you but not signed by you.
This raises attention if someone tries to spoof your identity as a committer or author. With vigilant mode enabled, all of your commits and tags are marked with one of three verification statuses: Verified, Partially verified, or Unverified.
Try it yourself!
First, check out how to automatically sign your commits.
Then, enable vigilant mode in your account settings:
Be sure to enable vigilant mode after you start signing your commits and tags.
Once you enable it, any unsigned commits or tags that you push to GitHub.com will be marked "Unverified," including past commits.Learn more about vigilant mode.
更新(2016 年 4 月)
参见“GitHub GPG signature verification”:
starting today GitHub will show you when commits and tags are signed.
When you view a signed commit or tag, you will see a badge indicating if the signature could be verified using any of the contributor's GPG keys uploaded to GitHub.
You can upload your GPG keys by visiting the keys settings page.
原始答案(2014 年 6 月)
根据您的编辑,您选择了论文“A Git Horror Story: Repository Integrity With Signed Commits”中的选项 2:
Option #2 is as simple as passing the
-Sargument togit merge.
If the merge is a fast-forward (that is, all commits can simply be applied atop of HEAD without any need for merging), then you would need to use the--no-ffoption to force a merge commit.
然后制作a signed request-pull (如果 commit.gpgsign is set 可以始终签名)可以将签名部分限制为将 merge 为贡献提交的提交(而不是两个分支之间的任何随机 merge )。
有关该过程的更多详细信息:
因此,如果您的持续集成构建仅 merge 请求 pull (在 this test script 中使用),您可以检查这些特定提交是否已签名(如果未签名则不要 merge 它们)。
此脚本是此类检查的示例:“check-commit-signature ”。
关于git - 如何自动验证所有提交者 PGP 签名他们的提交,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24074176/
24
4
0
假设我有一个带有隐藏提交按钮的表单,我在其中输入值,然后我点击一个按钮,就会出现带有确认消息和确认按钮的对话框。当我单击“确认”按钮时,我还单击了表单中隐藏的提交按钮。这可能吗?我如何在 JQuery
我们正在学习 Git 并使用 GitHub 作为我们的托管站点。 我们都 fork upstream repo 并 PR 我们的提交到 upstream 以获取我们的更改。 我们正在努力学习如何压缩我
我只需要一些关于这段代码的帮助。 var prv3; var markIt3 = function(e) { if (prv3 === this && this.checked) { th
如果 1 个表单使用“GET”方法而另一个使用“POST”方法,我如何提交位于同一页面上的 2 个表单。每个表单都有相同的操作并转到相同的下一页。需要帮忙。感谢大家的帮助。 我怎样才能得到下面这两个使
您好,我的表单中有以下脚本 function pdf() { var frm = document.getElementById("form1"); frm.action = "http://www.
我有一个 iOS 胖静态库(iphoneos 和 iphonesimulator),如果我在应用程序提交期间使用它,它会因为二进制文件包含 iphonesimulator 代码而失败吗? 最佳答案 我
我似乎有一个卡住的 git repo。它卡在所有基本的添加、提交命令上,git push 返回所有内容为最新的。 从其他帖子我已经完成了 git gc 和 git fsck/ 我认为基本的调试步骤是
我正在尝试发送由 jquery 创建的表单。该表单附加到一个 div 中,下面的变量“data”是使用 php 创建的,我将只发布最重要的 js 代码。 我尝试了很多带有和不带有“on()”的操作,但
我面临一个简单的问题,但不知道如何解决。我正在使用 twitter bootstrap 的标签。选项卡有效,但每个选项卡中的表单不提交。表单在没有选项卡的情况下提交。 以下是我用于标签的链接
我的计算机上有 140 个 git 存储库,每周我可以处理其中 10-15 个。有没有办法知道是否忘记提交/推送我的一个项目? 这些存储库都位于同一位置:“C:/Projects”。 输出类似于 C:
我对 javascript 完全陌生,目前正在开发我的第一个函数。我有这 2 个文本输入区域,可以在其中输入他的姓名和级别。 Nom: Niveau (1 á 6): 提交后,
我安装了最新的 Docker CS,得到了 LAMP image来自 Docker 集线器。我正在尝试在其中创建一个数据库并使用保存在其中的数据库制作一个新图像。 启动容器:docker run --
我有这个 jQuery 简单代码: 由于某种原因,submit() 无法正常工作(我的表单在单击 old_thumb 按钮后未提交。有人可以帮助我吗? 这里是 html 的一部分(它很长
如何获得 input type="submit"onclick 事件来触发 commitfunds.valdiate?我不能使用类或 ID。它必须是一个 onclick 事件。 这是代码: row A
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
来自 this earlier thread我以为我知道可以使用 javascript submit() 命令通过 POST 方法发送表单数据。但我无法让它工作。这个演示在目的方面没有明显的意义,但请
在 mysql 重新启动时提交 XA 待处理事务时,出现以下错误。请帮助我解决这个错误。 mysql> XA RECOVER CONVERT XID; +----------+------------
我有一个带有 的表单. 如果启用了 Javascript,我将删除此 submit -输入字段$('#no-js-submit').remove();并添加“fire-ajax”按钮 $('Fire
我希望在页面加载后提交此表单,并且我使用了以下代码来完成此操作。问题是页面不断重新加载并停留在该循环中。 HTML Select Genre
我们有一个表单,其中有几个单独的提交按钮,它们执行不同的操作。问题是我有几个具有以下 HTML 的按钮: 现在您无法使用标准的 find_control 函数按值定位元素。所以我写了一个谓词函数来
我是一名优秀的程序员,十分优秀!