在Git中,我们是否可以使用Entrust Digital SW对代码和提交进行签名而不是gpg?
需要你的建议。
答案 0 :(得分:0)
我不相信git tag -s和git tag -v允许任何关键但GPG(但我可能错了)。从手册页:
-s, --sign
Make a GPG-signed tag, using the default e-mail address's key.
-v, --verify
Verify the gpg signature of the given tag names.
写入的带注释的标签,即用git tag -a <tagname>生成的标签,允许任意消息,就像提交一样。没有理由你不能将密钥粘贴到消息中,然后你的上游维护者(或任何正在进行检查的人)可以手动验证密钥。您可以使用git show <tag>获取消息,并且编写验证脚本应该不难。