Subversion から git への移行を検討しています。まず、svn と同様に、中央リポジトリ スキームが使用されます。
問題は、各コミットが実在の人物によって作成されたことを確認したいということです。
Subversion では、svn パスワードをキャッシュしないと仮定すると、コミットの作成者が実際の作成者であることを確認できます。
ネットで数え切れないほどの検索を行った結果、中央リポジトリをプッシュするたびに署名付きタグを作成する必要があることがわかりました。タグに署名するには、以前の各コミットを確認して、コンピューターから離れている間に誰も何も変更していないことを確認する必要があります (たとえば、悪意のあるコードを導入して後で削除すると、全体的な差分では見えなくなりますが、継続的なビルド/テスト サーバーでまだ実行されています)。
これは、コミットを再確認する必要があることを意味します。最初に各コミットを作成するとき、次に署名付きタグでプッシュすることに決めたときにもう一度確認します。しかし、それは時間がかかり、冗長です。署名されたタグが進むべき道である場合、commit ごとに署名されたタグを作成する必要があると思います。これにより、リポジトリ全体がタグで埋められます。私の意見では、それはまったく正しく聞こえません。
私が考えることができる最もクリーンな解決策は、各コミットに署名することです(git 1.7.9以降でサポートされています)。しかし、どういうわけか私はそれを理解していません。git でサポートされていますが、まだ馬鹿げていると思われます。
私はどうしたらいいですか?すべてのコミットをダブルチェックし、プッシュごとのタグ署名を行うのに時間を浪費します。または、コミットごとにタグ署名します。またはすべてのコミットに署名しますか?私が知らない代替手段はありますか?
前もって感謝します。