Git 및 비 거부, 재방문됨

이 에세이는 일반적으로 DVCS와 관련이 있으며, 단지 git per se가 아닙니다. 그러나 오늘날 가장 인기있는 DVCS로 남아 있기 때문에 Git에 집중할 것입니다.

거부 없음 보안 서클에서 중요한 개념입니다. 기업이 만족할 만한 가치’다음과 같은 작업 레코드를 획득해야 합니다. “사실 이후에서 벗어날 수 없습니다.”.

기존의 중앙 집중식 버전 제어 도구를 사용하면 이러한 레코드를 커밋 내역에서 쉽게 사용할 수 있습니다. 시스템에 대한 각 커밋은 권한 부여 방식을 거쳐 변경한 사용자에게 업로드 권한이 부여되도록 합니다. 이러한 레코드는 해당 소프트웨어에 각 코드 행을 업로드할 담당자를 나타내는 정확한 레코드를 보관하기 위해 기업에 필수적입니다.

일반적으로 git 또는 분산 버전 제어로, 그 사이에 분명한 차이가 있다. “커밋” 역사와 역사 “업로드” 기록 — 내가 여기서 언급할 것은 “푸시 레코드”. git의 커밋은 로컬에서 발생하고 확인되지 않은 로컬 메타데이터가 내역에 추가되므로 인증되지 않습니다. 업로드 단계, 일명 git 푸시 이것은 별도의 단계이며, 여기에 푸시 기록이 재생됩니다.

대상 아파치 소프트웨어 재단‘git의 롤아웃, 우리는 장기적인 서브버전 서비스를 통해 기업이 누리는 거부할 수 없는 레코드의 병렬 레벨을 제공하는 방식으로 이러한 푸시 레코드를 기록하는 방식으로 시스템에 구워졌습니다. 시스템이 제대로 작동하려면 커밋자가 변경 사항을 ASF로 직접 푸시해야 합니다.’s git 저장소

이 점이 중요한 이유는 무엇입니까? 우선 아파치 커밋에 대한 ICLA(Contributor License Agreements)의 필요성에 대한 일반적인 오해를 다루도록 하자. 많은 사람들이’t는 통근자로서 그것을 이해하는 것 같다.’개별 저작물, 해당 언어 간에는 차이가 없습니다. ICLA 및 아파치 라이선스 2.0. 차이는 조직이 제3자 분담금을 처리하기 위한 적절한 프로세스를 처리하기 위해 커밋자와 ASF 간의 계약 합의가 필요하다는 사실에 있습니다. 그것은 ICLA를 필요로하는 이러한 형태의 기여이며, 다른 사람들과 계약을 맺기 위해 기괴한 벨트 앤 서스펜더가 아닙니다.

그런 다음 푸시 레코드가 제공하는 것은 릴리스의 각 코드 행에 대해 해당 코드를 ASF로 푸시하는 개별 커밋자를 추적하는 방법입니다.’s git 저장소입니다. 이것은 git에 대한 타사 기여의 출처를 결정하는 데 매우 중요합니다. 불행히도 그러한 기여자가 할 수 있기 때문입니다. “이동” DVCS 커밋 로그의 분산 특성으로 인해 git 프로젝트에 대한 기여에서. 그런 다음 ICLA에 따르면 책임 당사자는 코드를 푸시 한 위원회가됩니다.

초기 및 적절한 완화 전략은 모두 버려진 기여를 제거하는 주위에 회전하지만 프로젝트에 대한 손상은 이미 완료되었을 수 있습니다. 그리고 푸시 기록이 없으면, 우리는’d 말 그대로 해당 코드가 실제로 리포지토리에 어떻게 들어왔는지 판단하기 위한 신뢰할 수 있는 프로세스가 없습니다. 이슈 추적기 또는 목록 내 커뮤니케이션에서 대체 기록을 탐색하는 것 외에는 말이죠. 출처를 결정하기 위해 병합 커밋 로그에만 의존하는 것은 특정 유형의 워크플로우를 엄격하게 준수해야 하기 때문에 보안 관점에서 만족스럽지 않습니다.’t 명령하고 싶다.

그런 것들이 없다면 우리는’d 각 기여자의 최소 PGP 서명 요구’s 커밋, 이는 많은 프로젝트에 불투명합니다. 푸시 레코드는 프로젝트에 영향을 주지 않는 투명한 프로세스를 제공합니다.’ASF를 확인하는 것 이외의 워크플로우’s git repo는 진정한 마스터 저장소입니다.

2025 업데이트

Git에 대한 기본 지원 SSH-SK-ED25519@openssh.com 서명 키 - 랩탑/워크스테이션 사용을 위한 USB-C YubiKeys를 통합하는 2FA 커밋/태그 서명 인프라의 조직 채택에 적합합니다.

전체 PGP 인프라의 불필요하고 복잡성은 더 이상 조직 전체 또는 프로젝트별 수준에서 위에서 논의한 거부되지 않는 문제를 해결하는 데 관련이 없습니다. 그리고 좋은 GitHub 통합은 이러한 노력을 전체적으로 용이하게합니다.