Git提供了使用您的GPG私钥对带注释标签进行签名的选项,但是只接受标签声明的来源有什么问题?当标记不改变提交时,欺骗标记会造成什么损害?
答案 0 :(得分:10)
仅接受标签声明的来源有什么问题?
您无法保证这是正确的,您必须信任每个有权访问回购(授权与否)的人不要错误地创建标签。签名保证(至少与GPG可以提供的一样),创建标签的人是您认为他们的人。
当标记不改变提交时,欺骗标记会造成什么损害?
无。你似乎在这里混淆了两个不同的想法。标记和提交是完全独立的对象 - 标记指向提交,但标记不是提交。因此,标签永远不会改变提交。这可能存在更多危险:伪造的标签不会意外地改变提交历史,并且更容易被忽视。