Git und Non Repudation

[ARCHIVIERT] Zuletzt aktualisiert von Joe Schaefer auf Sa., 27 Apr. 2024    Quelle
 

Dieser Aufsatz bezieht sich wirklich auf DVCS im Allgemeinen, nicht nur auf Git per se. Aber wir werden die Aufmerksamkeit auf Git konzentrieren, weil es bis heute die beliebteste DVCS ist.

Nicht zurückweisend.

Mit einem traditionellen, zentralisierten Tool zur Versionskontrolle sind solche Datensätze aus der Commit-Historie leicht verfügbar. Jede Zusage an das System durchläuft einen Autorisierungsmechanismus, um sicherzustellen, dass die Person, die diese Änderung vorgenommen hat, zum Hochladen autorisiert ist. Diese Datensätze sind für das Unternehmen von entscheidender Bedeutung, um sicherzustellen, dass genaue Datensätze gespeichert werden, die angeben, wer für das Hochladen jeder Codezeile in die betreffende Software verantwortlich ist.

Mit git oder verteilter Versionskontrolle im Allgemeinen, Es gibt einen klaren Unterschied zwischen der “Commit”-Geschichte und der “Upload”-Geschichte — die ich als “Push Records” bezeichnen werde. Commits in git werden nicht authentifiziert, da sie lokal erfolgen, wobei lokale, nicht verifizierte Metadaten zur Historie hinzugefügt werden. Der Uploadschritt, aka git push

Mit Die Apache Software Foundation.

Warum ist das wichtig? Nun, zunächst lassen Sie mich ein häufiges Missverständnis über die Notwendigkeit von Beitragenden Lizenzvereinbarungen (ICLAs) für Apache-Committers ansprechen. Viele Menschen scheinen nicht zu verstehen, dass, soweit ein Committer einzelne Werke der Autorenschaft, gibt es keinen Unterschied zwischen der anwendbaren Sprache in der ICLA und die Apache-Lizenz 2.0.

Was Push-Datensätze dann bieten, ist eine Möglichkeit, auf jede Codezeile in einem Release zurückzuverfolgen, der einzelne Committer, der dafür verantwortlich ist, diesen Code an das Git-Repository der ASF zu übertragen. Dies ist von entscheidender Bedeutung für die Bestimmung der Herkunft eines Drittbeitrags mit Git, da es für einen solchen Mitwirkenden leider möglich ist, sich von seinem Beitrag zu einem Git-Projekt wegen der verteilten Natur von DVCS-Commit-Logs zu entfernen. Die verantwortliche Partei wird nach Angaben der ICLA dann der Committer, der den Code gepusht hat.

Frühe und angemessene Minderungsstrategien drehen sich um die Beseitigung des aufgegebenen Beitrags, aber der Schaden am Projekt ist möglicherweise bereits entstanden. Und ohne die Push-Aufzeichnungen hätten wir buchstäblich keinen autoritativen Prozess, um zu bestimmen, wie dieser Code tatsächlich in unser Repo gelangt ist, außer durch alternative Aufzeichnungen in Problem-Trackern oder auf der Liste Kommunikation. Sich allein auf Merge-Commit-Logs zu verlassen, um die Herkunft zu bestimmen, ist aus Sicherheitsgründen nicht sehr befriedigend, da es eine starre Einhaltung eines bestimmten Workflowtyps erfordert, den wir nicht diktieren möchten.

Ohne solche Dinge müssten wir zumindest die PGP-Unterzeichnung der Verpflichtung jedes Mitwirkenden vorschreiben, was für viele Projekte belastend ist. Push-Datensätze bieten einen transparenten Prozess, der sich nicht auf den Workflow eines Projekts auswirkt, außer um sicherzustellen, dass das Git-Repository der ASF das echte Master-Repository ist.

$Datum: 2023-01-19 22:58:40 +0000 (Do, 19 Jan 2023) $

Permalink  #DVCS   #ICLA   #keine Ablehnung   #Sicherheit   #Versionskontrolle  

 

   

Kommentare  


Anhänge  

Links  


Index

NonFunctional Tests



 

  • Verteilerlisten — Diese temporären Adressen sind ein Anathema für ezmlm-idx‘s Abo- und Moderationssysteme … Sa., 27 Apr. 2024

 

  • Informationssicherheits-Primer — Alle Daten, die aus einem UNIX Systemaufruf zur Laufzeit stammen, müssen als erhalten behandelt werden … Sa., 27 Apr. 2024

 

  • Die Freude der DTrace — Messen Sie zweimal, schneiden Sie einmal, bevor Sie mit einer Codeoptimierung beginnen … Mi., 17 Apr. 2024

 


COVID-19. März 2020

  • Exponentielles Wachstum und COVID-19 — Nehmen Sie sich Zeit für den Abschnitt Mathematik — Es ist wichtig, ein gebildeter Verbraucher von Statistiken zu sein, die für die aktuelle Pandemie relevant sind … Mo., 30 Jan. 2023

 

  • Über das Spam-Problem… — Das beste Plugin für qpsmtpdObwohl es schwierig ist zu verstehen, warum … So., 29 Jan. 2023

Hyperbolische Wabe


 

  • Spaß mit htop — Erweiterte htop-Funktionen auf beliebten Unix-Plattformen … Do., 19 Jan. 2023

Informationsarchitektur

  • Informationsarchitektur — Die gesamte Bandbreite an Technologien, die für das Design, die Präsentation, die Beziehungen und die architektonischen Einschränkungen relevant sind, die jede von Ihnen bereitgestellte URL abdecken … Mo., 11 März 2024

geteert und gefiedert


Englischsprachige Abhängigkeiten


 

  • Die Bewegung DevOps — Die große Idee hinter der “Bewegung” ist nicht nur, den Entwicklern mehr Seil zu geben … Fr., 26 Apr. 2024

Jahr des Drachen


 

  • Anwendungsperformance — Viele Entwickler fallen in die Falle des Denkens, dass es bei der Leistungsoptimierung darum geht, jede Codezeile so effizient wie möglich zu machen. … Fr., 26 Apr. 2024