Gitには、GPG秘密鍵を使用して注釈付きタグに署名するオプションがありますが、タグの主張された発信元を受け入れるだけの何が問題になっていますか?タグがコミットを変更しない場合、なりすましタグはどのようなダメージを与える可能性がありますか?
質問する
1356 次
1 に答える
11
タグの主張された起源を受け入れることの何が問題になっていますか?
それが正しいという保証はありません。誤ってタグを作成しないように、リポジトリにアクセスできる(許可されているかどうかに関係なく)すべての人を信頼する必要があります。署名は、タグを作成した人があなたが思っている人であることを(少なくともGPGが提供できる限り)保証します。
タグがコミットを変更しない場合、なりすましタグはどのようなダメージを与える可能性がありますか?
なし。ここでは、2つの異なるアイデアが混同されているようです。タグとコミットは完全に別個のオブジェクトです。タグはコミットを指しますが、タグはコミットではありません。したがって、タグがコミットを変更することはありません。これは潜在的に、より危険な場所です。偽造されたタグは、コミット履歴を予期せず変更することはなく、見過ごされやすくなります。
于 2012-08-30T02:09:41.070 に答える