Tôi muốn xây dựng một con đường đáng tin cậy để phát triển phần mềm. Điều này có nghĩa là mọi thay đổi về mã phải được ký bởi tác giả và một người đánh giá, trước khi được chấp nhận. Những chữ ký này cho các thay đổi phải được xác minh tại thời điểm phát hành, hoặc phải có một số các phương tiện khác để đảm bảo rằng kho lưu trữ không thể bị giả mạo hoặc thay đổi bổ sung.Đường dẫn phát triển đáng tin cậy trong git có chữ ký
Hệ thống kiểm soát phiên bản mà tôi mong muốn sử dụng cho mục đích này là git, nhưng các tùy chọn khác cũng được chấp nhận. Đăng nhập có thể thông qua chứng chỉ GnuPG hoặc SSL.
Các công việc tôi đang nghĩ đến sẽ là khoảng:
- thân xác hiện hành được phân nhánh
- Những thay đổi được phát triển tại các chi nhánh của một hoặc nhiều nhà phát triển
- Một hoặc nhiều các nhà phát triển ký thay đổi do chi nhánh
- Đánh giá của người đánh giá và kiểm tra các thay đổi
- Người kiểm tra ký các thay đổi của chi nhánh
- Chi nhánh là "sáp nhập" vào thân xác hiện tại
Ghép không phải là hết sức rõ ràng như rằng thay đổi chưa được xem xét sẽ cần phải được unmergeable để thân cây - chỉ rằng trước khi một thông cáo, cần phải có một cách kiểm tra xem có bất kỳ thay đổi nào chưa được xem xét trong thân cây (chưa ký). Và nói chung, giả mạo không cần phải được ngăn chặn, chỉ phát hiện.
Tôi muốn có hướng dẫn ngắn về cách thiết lập và cách thực hiện từng thao tác. Một khi tôi nhận được một số gợi ý, tôi có thể tìm ra các chi tiết cụ thể bản thân mình.
Ngoài ra, tôi đã biết về 'git tag -s' về mặt kỹ thuật, nhưng tôi không chắc chắn cách áp dụng nó cho vấn đề cụ thể này.
Hiện chưa có bất kỳ câu trả lời cụ thể nào cho tất cả câu chuyện, vì vậy tôi để nó mở. Tôi đang cố gắng một số khả năng bản thân mình và nếu tôi đưa ra một cái cụ thể, tôi sẽ đăng câu trả lời ở đây. – Nakedible