Github offre agli utenti di firmare il loro lavoro utilizzando GPG. Immagino di perdere l'immagine più grande, anche se come possono le persone avere le tue chiavi SSH o le tue credenziali e non le tue chiavi GPG. Non sei sicuro di quale tipo di layer aggiunga alla normale connessione ssh?
In che modo questo aiuta a raggiungere il loro obiettivo:
Use GPG keys to sign your work locally and verify work from trusted collaborators.
Perché il login utente / password autenticato, le chiavi SSH scambiate con github non sono sufficienti per impedire mascherarsi e implementare l'autorizzazione?
Modifica
Infatti, se vedi il commento Davorak :
You can use github's api to identify out who pushed a commit:
Currently the event in question is on page 3 so you can use: https://api.github.com/repos/amoffat/masquerade/events?page=3
It i will roll to further pages as new events come in.
(vedi l'output alla fine)
Per me sembra un'eccessiva ingegnerizzazione e una cattiva pratica, perché tutte le persone che non impostano un GPG sono ancora a "rischio".
Questo è ciò che Linus deve dire .
{
"id": "3030685599",
"type": "PushEvent",
"actor": {
"id": 259113,
"login": "amoffat",
"gravatar_id": "",
"url": "https://api.github.com/users/amoffat",
"avatar_url": "https://avatars.githubusercontent.com/u/259113?"
},
"repo": {
"id": 40194425,
"name": "amoffat/masquerade",
"url": "https://api.github.com/repos/amoffat/masquerade"
},
"payload": {
"push_id": 747582733,
"size": 1,
"distinct_size": 1,
"ref": "refs/heads/master",
"head": "9b0562595cc479ac8696110cb0a2d33f8f2b7d29",
"before": "2ff8c2e08b0be167a6794a1a03b7a41f0c459141",
"commits": [
{
"sha": "9b0562595cc479ac8696110cb0a2d33f8f2b7d29",
"author": {
"email": "[email protected]",
"name": "Linus Torvalds"
},
"message": "Enjoy!",
"distinct": true,
"url": "https://api.github.com/repos/amoffat/masquerade/commits/9b0562595cc479ac8696110cb0a2d33f8f2b7d29"
}
]
},
"public": true,
"created_at": "2015-08-04T18:44:26Z"
},