使用 Mercurial（分布式版本控制），我们如何知道用户名不是假的？

Posted 2023-03-16

【中文标题】使用 Mercurial（分布式版本控制），我们如何知道用户名不是假的？

【英文标题】：With Mercurial (Distributed Version Control), how do we know usernames are not false?

【发布时间】：2017-06-16 01:12:24

【问题描述】：

假设有 3 或 4 个开发人员使用 Mercurial，并且都在对项目进行更新。目前，用户名是自行配置的。

如果我从同事那里提取更改（可能包括他从其他同事那里提取的其他更改），我如何确定每次提交的用户名实际上是由该用户创作的，而不是可能拥有的其他用户在那次提交上输入了一个假用户名？

我认为 Mercurial 有一些内置的解决方案来解决这个问题，也许使用密码学将用户名与哈希和私有盐或密钥或其他东西进行比较。

有没有办法验证每个提交的作者？这是如何工作的，是否可以在保持我们版本控制系统的分布式特性的同时做到这一点，或者我们是否需要一个身份验证服务器？

【参考方案1】：

您使用GPG extension。

这意味着您正在使用OpenPGP 系统，以及所有相关内容。

有一个关于past, present and future of signing的讨论。