Для чего нужна функция выхода из системы в Git?

565

Какой смысл в функции выхода из системы в Git ?

git commit --signoff

Когда я должен использовать это, если вообще?

git git-commit Кларк Гебель
источник

Ответы:

536

Подписание - это требование для получения исправлений в ядре Linux и некоторых других проектах, но большинство проектов фактически не используют его.

Он был представлен после судебного иска ШОСдругих обвинений в нарушении авторских прав со стороны ШОС , большинство из которых они фактически никогда не предъявляли в суд) в качестве сертификата происхождения Разработчика . Он используется, чтобы сказать, что вы подтверждаете, что создали соответствующий патч, или что вы подтверждаете, что, насколько вам известно, он был создан по соответствующей лицензии с открытым исходным кодом, или что он был предоставлен вам кем-то еще в соответствии с этими условиями. Это может помочь создать цепочку людей, которые берут на себя ответственность за статус авторского права соответствующего кода, чтобы гарантировать, что защищенный авторским правом код, не выпущенный по соответствующей лицензии свободного программного обеспечения (с открытым исходным кодом), не включен в ядро.

Брайан Кэмпбелл
источник
91
Следует отметить, что описанное значение - это значение, назначенное Signed-off-by:строкам сообщений коммита проектом ядра Linux (и самим проектом Git). Для других проектов, однако, такие строки не имеют смысла , если проект правопреемников означает для них (например , путем их описания в документации проекта, например , в Linux SubmittingPatches или Git и SubmittingPatches ).
Крис Джонсен
39
Так почему же это нужно сделать в сообщении фиксации? Я думал, что к коммитам был прикреплен автор, и они были частью хэша SHA1?
Лейф Андерсен
34
@Leif Просто информации об авторстве недостаточно. Я мог бы написать патч, но если бы я основывал его на каком-то коде из Unix, у меня не было бы разрешения выпустить его под лицензией GPL (по крайней мере, без подписи кого-то выше). Или, патч может сделать это между несколькими различными сопровождающими перед тем, как оказаться в дереве ядра; подпись указывает на цепочку поставок. Прочитайте сертификат происхождения, на который я ссылаюсь; вот что это значит, когда вы добавляете строку подписи. Заголовок «Автор» может быть неточным и не обязательно подразумевает согласие со всем в сертификате происхождения.
Брайан Кэмпбелл
68
Без ключа PGP как можно установить подлинность подписи?
HRJ
7
@HRJ Подлинность подписанного на самом деле на вас (коммитер). Ни на автора, ни на сам подписавшийся. Если позже кто-то (в основном подписавший) оспорит его недействительность, лучше иметь с собой электронное письмо или что-то, что доказывает, что он согласился на это. Комментатор может сказать, что он не совершал такой блоб, ЕСЛИ блоб не подписан GPG (ИМХО слабая защита, но ...). В этом случае коммитер может использовать -S, чтобы закрыть круг. Теперь с -S и -s у вас есть цепочка поставок, основанная на слове коммитера, что код, написанный каким-то автором, разрешается использовать некоторым подписавшимся выше.
Доктор Беко
70

Подписание - это строка в конце сообщения о коммите, которая подтверждает, кто является автором коммита. Его основная цель - улучшить отслеживание того, кто что сделал, особенно с патчами.

Пример коммита:

Add tests for the payment processor.

Signed-off-by: Humpty Dumpty <humpty.dumpty@example.com>

Оно должно содержать настоящее имя пользователя, если оно используется для проекта с открытым исходным кодом.

Если сопровождающему ветки нужно немного изменить патчи, чтобы объединить их, он может попросить отправителя переадресовать, но это будет контрпродуктивно. Он может скорректировать код и поставить подпись в конце, так что первоначальный автор все еще получает кредит на патч.

Add tests for the payment processor.

Signed-off-by: Humpty Dumpty <humpty.dumpty@example.com>

[Project Maintainer: Renamed test methods according to naming convention.]
Signed-off-by: Project Maintainer <project.maintainer@example.com>

Источник: http://gerrit.googlecode.com/svn/documentation/2.0/user-signedoffby.html

Анджей Реманн
источник
38
Разве это не избыточно в authorполе git commit? Я всегда думал, что поэтому было отдельное authorи committerполе. Автор - автор патча, а коммиттер - парень, который применил и выдвинул патч.
Лейф Грюнволдт
10
Действительно ли это подтверждает, кто автор коммита? Я имею в виду столько же, сколько -S (--gpg-sign), потому что я так не думаю. Я думаю, что любой может добавить строку «Подписано» с любым именем и адресом электронной почты, тогда как подпись GPG гораздо надежнее, но, возможно, я ошибаюсь.
ЛВП
1
«Подписание - это строка в конце сообщения о коммите, которая подтверждает, кто является автором коммита. Его основная цель - улучшить отслеживание того, кто что сделал, особенно с помощью патчей ». - Это почти наверняка неправильно (особенно первое предложение). В качестве встречного примера, см., Например, b2c150d3aa (связанный с ответом VonC) , который имеет два заголовка со списком подписей ; один автором , а другой сопровождающим. Это обычная практика в проектах Git и Linux.
Гильденстерн
(Продолжение предыдущего комментария.) Выход из системы означает, что вы создали коммит при определенных условиях, или что вы передаете что-то, что было написано кем-то, кто выполнил (выполнил) вышеупомянутое условие. Так что это образует нечто вроде цепочки сертификации.
Гильденстерн
Обновление вышеупомянутого: оказывается, что я что-то пропустил в своем последнем ответе, и поэтому я недооценил этот ответ. Автор частично прав насчет «корректировки кода», но делает неверный акцент на трейлере «отписаться». В документации сказано, что вы должны добавить трейлер в скобках (как в примере в ответе), который сообщает об этом. Таким образом, подписание в сочетании с этим может быть использовано для добавления небольших изменений такими людьми, как интегратор / сопровождающий. Но подписание все еще служит в основном тем, что я описал.
Гильденстерн
30

git 2.7.1 (февраль 2016 г.) поясняет, что в коммите b2c150d (05 января 2016 г.) Дэвид А. Уилер ( david-a-wheeler) .
(Слиты Junio C Hamano - gitster- в фиксации 7aae9ba , 5 февраля 2016)

git commitСтраница man теперь включает в себя:

-s::
--signoff::

Добавьте Signed-off-byстроку от коммиттера в конце сообщения журнала фиксации.
Смысл подписи зависит от проекта, но обычно он подтверждает, что коммиттер имеет право подать это произведение под той же лицензией и соглашается с Сертификатом происхождения разработчика (см. Https://developercertificate.org для получения дополнительной информации).

Развернуть документацию с описанием --signoff

Измените различные файлы документа (man-страницы), чтобы более подробно объяснить, что это --signoffзначит.

Это было вдохновлено « lwn article« Bottomley: скромное предложение о DCO »(Developer Certificate of Origin), где Пол отметил:

Проблема, с которой я столкнулся в DCO, заключается в том, что добавление -sаргумента « » в git commit не означает, что вы даже не слышали о DCO ( на git commitстранице руководства нигде не упоминается DCO ), не говоря уже о том , чтобы увидеть его.

Так как же присутствие " signed-off-by" каким-либо образом может означать, что отправитель согласен и принимает на себя обязательства по отношению к DCO? В сочетании с фактом, я видел ответы в списках на исправления без SOB, которые не говорят ничего, кроме «Отправить это снова, signed-off-byчтобы я мог его зафиксировать».

Расширение документации git поможет утверждать, что разработчики понимали, --signoffкогда они ее используют.

Обратите внимание, что теперь эта подпись (для Git 2.15.x / 2.16, Q1 2018) также доступна git pull.

См. Коммит 3a4d2c7 (12 октября 2017 г.) У. Тревора Кинга ( wking) .
(Объединено Junio ​​C Hamano - gitster- в коммите fb4cd88 , 06 ноября 2017 г.)

pull: перейти --signoff/--no-signoffк " git merge"

объединение может занять --signoff, но без вытягивания --signoff, неудобно использовать; позвольте ' pull' принять опцию и пропустить ее.

VonC
источник
2
Даже когда документация git commit (наконец-то) ссылается на документ, флаг -s намеревается указать знание и согласие / согласие / ??? я считаю, что SOB юридически очень слаб. Я думаю, что SOB был изобретен Линусом для решения социальной проблемы, в которой другие выступали за бюрократию с высокими накладными расходами. Линус ничего не хотел, но придумал это, чтобы заткнуть их. Насколько я могу судить, юристы не советовали бы вам вкладывать много денег, если они вообще есть, верить в это. (Я "Пол" на LWN).
paulj
3
VonC, ты настоящий куратор Git. У вас всегда есть такие хорошо структурированные, информативные и с хорошими перекрестными ссылками ответы на подобные вопросы - прослеживая историю разработки Git до возможных пользовательских инструментов и документации. Так что спасибо вам за это.
Гильденстерн
3
@Guildenstern Спасибо за этот хороший комментарий.
VonC
17

На этот вопрос есть несколько хороших ответов. Я попытаюсь добавить более широкий ответ, а именно о том, что такое линии / заголовки / трейлеры в текущей практике. Не так много о заголовке подписи в частности (он не единственный).

Заголовки или трейлеры (↑ 1), такие как «выход» (↑ 2), в современной практике в таких проектах, как Git и Linux, являются эффективно структурированными метаданными для фиксации. Все они добавляются в конец сообщения коммита, после «свободной формы» (неструктурированной) части тела сообщения. Это пары токен-значение (или ключ-значение ), обычно разделенные двоеточием и пробелом ( :␣).

Как я уже говорил, «подписание» - не единственный трейлер в современной практике. Посмотрите, например, этот коммит , который имеет отношение к «Грязной корове»:

 mm: remove gup_flags FOLL_WRITE games from __get_user_pages()
 This is an ancient bug that was actually attempted to be fixed once
 (badly) by me eleven years ago in commit 4ceb5db9757a ("Fix
 get_user_pages() race for write access") but that was then undone due to
 problems on s390 by commit f33ea7f404e5 ("fix get_user_pages bug").

 In the meantime, the s390 situation has long been fixed, and we can now
 fix it by checking the pte_dirty() bit properly (and do it better).  The
 s390 dirty bit was implemented in abf09bed3cce ("s390/mm: implement
 software dirty bits") which made it into v3.9.  Earlier kernels will
 have to look at the page state itself.

 Also, the VM has become more scalable, and what used a purely
 theoretical race back then has become easier to trigger.

 To fix it, we introduce a new internal FOLL_COW flag to mark the "yes,
 we already did a COW" rather than play racy games with FOLL_WRITE that
 is very fundamental, and then use the pte dirty flag to validate that
 the FOLL_COW flag is still valid.

 Reported-and-tested-by: Phil "not Paul" Oester <kernel@linuxace.com>
 Acked-by: Hugh Dickins <hughd@google.com>
 Reviewed-by: Michal Hocko <mhocko@suse.com>
 Cc: Andy Lutomirski <luto@kernel.org>
 Cc: Kees Cook <keescook@chromium.org>
 Cc: Oleg Nesterov <oleg@redhat.com>
 Cc: Willy Tarreau <w@1wt.eu>
 Cc: Nick Piggin <npiggin@gmail.com>
 Cc: Greg Thelen <gthelen@google.com>
 Cc: stable@vger.kernel.org
 Signed-off-by: Linus Torvalds <torvalds@linux-foundation.org>

В дополнение к трейлеру «подписи» в приведенном выше, есть:

  • «Копия» (была уведомлена о патче)
  • «Acked-by» (признается владельцем кода, «выглядит хорошо для меня»)
  • «Проверено» (рецензировано)
  • «Сообщено и проверено» (сообщил и протестировал проблему (я полагаю))

Другие проекты, такие как, например, Gerrit, имеют свои собственные заголовки и связанные с ними значения.

Смотрите: https://git.wiki.kernel.org/index.php/CommitMessageConventions

Мораль истории

У меня сложилось впечатление, что, хотя первоначальной мотивацией для этих конкретных метаданных были некоторые правовые вопросы (судя по другим ответам), практика таких метаданных вышла за рамки простого рассмотрения случая формирования авторской цепочки.

[↑ 1]: man git-interpret-trailers
[↑ 2]: Кажется, их также иногда называют «рыданиями» (инициалы).

Гильденстерн
источник
2
Интересный вариант использования. +1
VonC