Fossil GPG рабочий процесс для команд

Question

Я изучаю ископаемые и пытаюсь воспроизвести рабочий процесс для двух человек, которые изменяют одно и то же дерево исходного кода.

Итак, у Алисы и Боба есть локальные репозитории некоторого исходного кода. У обоих отключена автосинхронизация. Алиса взламывает еще, делает некоторые подписывает регистрацию с ее ключом gpg. Эта часть хороша, так как Алиса, мне удалось сгенерировать ключи gpg, окаменелости спросил меня пароль ключа при совершении. Я также знаю о gpg-agent, но пока не использую его, потому что сейчас я стараюсь сделать его как можно более простым.

Теперь, в какой-то момент Боб извлекает изменения из репозитория Алисы. Как он будет проверять подписанные регистрации Алисы?

Добавлено:

Я знаю, что после получения изменений, Боб может вручную перемещаться по регистрации Алисы, используя 'ископаемое обновление' и делая 'gpg --verify manifest' из них. Я спрашиваю, есть ли у ископаемого автоматический способ проверки всех «чужих» проверок после «извлечения ископаемых» , перед тем как объединить изменения других людей с контентом из локальной рабочей области.

Answer 1

Текущие (по состоянию на июнь 2010 года) версии ископаемых не имеют никакой автоматизации для gpg, кроме подписания манифестов. Одна недавняя ветка , обсуждающая это в списке рассылки ископаемых, показала, что доктор Хипп видит подписи как для подтверждения личности человека, делающего проверку, а не для проверки самой проверки. Это доказательство может быть важно позже в контексте аудита или судебного разбирательства, где может быть важно иметь возможность доказать, что политики были соблюдены или что весь код охватывался существующими соглашениями.