GitHub GPG 加密的意义?

2016-04-06 13:43:57 +08:00
 df4VW

GitHub 今天新加入了 GPG 签名的验证,虽然是好事但是我还是没明白这个加密对于一个代码托管服务的意义

有没有老司机来帮忙解释下

https://github.com/blog/2144-gpg-signature-verification

3118 次点击
所在节点    问与答
10 条回复
bitsmix
2016-04-06 13:59:42 +08:00
Linus 没有办法给我提交代码了
goool
2016-04-06 14:03:10 +08:00
与加密无关,是 gpg 签名。帮你确认是谁提交了代码。
chinvo
2016-04-06 14:07:12 +08:00
Git 本身支持 GPG 签名。 GitHub 现在只是把这个功能显示在页面上了。

GPG 签名有助于验证提交者身份
orzfly
2016-04-06 15:15:57 +08:00
然而全文根本就没提到加密,我实在是不明白你怎么说着说着就从签名讲到加密上去了。
orzfly
2016-04-06 15:18:47 +08:00
@bitsmix 并不是没有办法给你提交呀……只是其他人没有办法用你的密钥签名,从而不能证明是你提交的。

如果你信任别人的改动,你可以在他提交之后自己产生一个签名了的 commit 。因为 commit 有 parent 属性,一旦给 commit 签名,相当于你便确认了整个历史。
julyclyde
2016-04-06 17:54:05 +08:00
在 PGP 信任模型里, github 现在可以扮演某种“介绍人”角色了
AstroProfundis
2016-04-06 17:56:22 +08:00
@orzfly 楼上的意思是不能自己伪造 Linus 的提交了...
Pastsong
2016-04-06 18:22:08 +08:00
为了防止 git-blame-someone-else
https://github.com/jayphelps/git-blame-someone-else
DIYgod
2016-04-06 18:42:02 +08:00
@Pastsong 这个好贱哈哈哈哈哈哈
bitsmix
2016-04-06 23:48:07 +08:00
@orzfly 你反过来想。如同 @AstroProfundis 说的一样。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/268952

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX