限制 Git 扩展中的用户模拟
Restrict User Impersonation in Git Extension
我们正在与一组开发人员一起使用 Git、Git 扩展和 GitLab。
在Git扩展>设置>Git配置、用户名和输入用户电子邮件 以记录作者到本地提交。当开发人员将本地更改推送到中央存储库时,作者的姓名将根据本地提交中的作者历史记录显示。
看来我们可以输入任何用户名和电子邮件并在本地提交,然后推送到中央存储库。这有效地让我有机会冒充任何用户。我确定这是不可接受的环境,我遗漏了一些东西。
我们要避免的是无意中使用不正确的用户详细信息进行提交,无论是无意的还是有意的,特别是当开发人员拥有单独的官方和个人电子邮件时。我相信 git 工作流程基于信任和开放的理念,并且在 public 项目中运作良好。在官方开发中,我们需要一个没有任何用户自由裁量权的审计跟踪。
我无法确定一种方法来限制此类模拟,并且只能在本地提交和推送到远程存储库期间将提交限制为授权用户。你能提出正确的前进方向吗?
作者信息不做认证。如果您需要能够 证明 谁在您不信任的人可以贡献的环境中贡献了提交,那么您需要签署您的提交。请参阅 git commit 文档,特别是 -S / --gpg-sign 选项
我们正在与一组开发人员一起使用 Git、Git 扩展和 GitLab。
在Git扩展>设置>Git配置、用户名和输入用户电子邮件 以记录作者到本地提交。当开发人员将本地更改推送到中央存储库时,作者的姓名将根据本地提交中的作者历史记录显示。
看来我们可以输入任何用户名和电子邮件并在本地提交,然后推送到中央存储库。这有效地让我有机会冒充任何用户。我确定这是不可接受的环境,我遗漏了一些东西。
我们要避免的是无意中使用不正确的用户详细信息进行提交,无论是无意的还是有意的,特别是当开发人员拥有单独的官方和个人电子邮件时。我相信 git 工作流程基于信任和开放的理念,并且在 public 项目中运作良好。在官方开发中,我们需要一个没有任何用户自由裁量权的审计跟踪。
我无法确定一种方法来限制此类模拟,并且只能在本地提交和推送到远程存储库期间将提交限制为授权用户。你能提出正确的前进方向吗?
作者信息不做认证。如果您需要能够 证明 谁在您不信任的人可以贡献的环境中贡献了提交,那么您需要签署您的提交。请参阅 git commit 文档,特别是 -S / --gpg-sign 选项