Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
Git 提供了使用您的 GPG 私钥签署带注释标签的选项,但是仅接受标签声明的来源有什么问题?当标签不改变提交时,欺骗标签会造成什么损害?
只接受标签声明的来源有什么问题?
你不能保证它是正确的,你必须相信每个有权访问 repo 的人(无论是否授权)都不会错误地创建标签。签名保证(至少与 GPG 所能提供的一样多)创建标签的人就是您认为的人。
当标签不改变提交时,欺骗标签会造成什么损害?
没有任何。您似乎在这里混淆了两种不同的想法。一个标签和一个提交是完全独立的对象——一个标签指向一个提交,但一个标签不是一个提交。因此,标签永远不会改变提交。这可能是更危险的地方:伪造的标签不会意外更改提交历史,并且更容易被忽视。