在 Git 中,我们可以使用 Entrust Digital SW 代替 gpg 来签署标签和提交吗?
需要你的建议。
我不相信git tag -s
并git tag -v
允许除 GPG 之外的任何密钥(但我可能是错的)。从手册页:
-s, --sign
Make a GPG-signed tag, using the default e-mail address's key.
-v, --verify
Verify the gpg signature of the given tag names.
那些书面的、带注释的标签,即那些使用git tag -a <tagname>
允许任意消息生成的标签,就像提交一样。您没有理由不能将密钥粘贴到消息中,然后您的上游维护人员(或进行检查的任何人)只需手动验证密钥即可。您可以使用 获取消息git show <tag>
,编写验证脚本应该不难。