Sto ricercando un modo per proteggere e abilitare la responsabilità dei nostri pacchetti quando vengono trasferiti dal nostro team di sviluppo, fino a Q + A e infine alla distribuzione.
Ho inizialmente creato una casella di firma a cui i nostri sviluppatori possono accedere e firmare i giri utilizzando la chiave creata da GnuPG. Quindi spostano il pacchetto firmato in una directory 'outbox' per il QA da raccogliere e spostano la loro porzione pubblica della chiave in una directory 'public key'. Ciò tuttavia non è ideale in quanto è possibile effettuare più chiavi pubbliche (false) da parte di ciascun utente ...
Lo scopo ultimo è forzare ogni pacchetto completato a essere firmato da un singolo sviluppatore per garantire la responsabilità e l'integrità mentre il pacchetto si sposta sulla nostra piattaforma operativa.
Pertanto, ho alcune aree che ho bisogno di aiuto / suggerimenti con:
- Qual è il modo migliore per garantire che venga creata una sola chiave da ciascun utente? (Forse una sceneggiatura?)
- Qual è il modo migliore per archiviare e recuperare queste chiavi che garantiscano l'integrità?
Grazie mille.