GIT e GitHub - Come posso sapere chi ha effettuato il commit di un deposito in un repository?

Question

Su GitHub:

Eve scrive un codice nella sua forcella di un progetto popolare, commuta come "Eve" <eve@example.com> e invia una richiesta pull a monte.

Alice non si accorge che il codice di Eve contiene una backdoor del progetto popolare su cui lavora, pensa che il codice sia ottimo e unisce la richiesta di pull.

In seguito, tutti diventano proprietari.

Bob, il capo di Alice, vorrebbe licenziare chiunque abbia sbarcato il codice. Lo fa un git log --full, e vede:

commit deadbeef 
Author: Eve <eve@example.com> 
Commit: Eve <eve@example.com> 

git log --fuller non aiuta, ed Eva non dispone dei diritti di Direct Push per il repository.

Bob può scavare attorno alla cronologia delle richieste di pull e trovarlo in questo modo, ma questo fa schifo. C'è un modo per capirlo a livello locale?

Answer 1

In generale con git, è possibile utilizzare git signoff (vedere What is the Sign Off feature in Git for?) e quindi aggiungere un hook di aggiornamento per rifiutare qualsiasi push che non ha un signoff. Tuttavia, GitHub non sembra consentire ganci personalizzati in generale, ma si potrebbe aggiungere un post-ricezione-hook per registrare tutti gli eventi futuri spinta:

http://help.github.com/post-receive-hooks/

Se questo è stato un evento che già accaduto, potrebbe essere difficile (o impossibile?) rintracciare. Si potrebbe essere in grado di guardare i log git reflog e ssh, ma non sono sicuro che GitHub fornisca tali informazioni. Se fosse davvero una violazione della sicurezza, potrebbe valere almeno la pena di chiedere loro quali registri hanno.