8

Git 提供了使用您的 GPG 私钥签署带注释标签的选项,但是仅接受标签声明的来源有什么问题?当标签不改变提交时,欺骗标签会造成什么损害?

4

1 回答 1

11

只接受标签声明的来源有什么问题?

你不能保证它是正确的,你必须相信每个有权访问 repo 的人(无论是否授权)都不会错误地创建标签。签名保证(至少与 GPG 所能提供的一样多)创建标签的人就是您认为的人。

当标签不改变提交时,欺骗标签会造成什么损害?

没有任何。您似乎在这里混淆了两种不同的想法。一个标签和一个提交是完全独立的对象——一个标签指向一个提交,但一个标签不是一个提交。因此,标签永远不会改变提交。这可能是更危险的地方:伪造的标签不会意外更改提交历史,并且更容易被忽视。

于 2012-08-30T02:09:41.070 回答