Git 拒绝用户创建标签

Question

这是一个关于 git repo 管理的问题...

是否可以将 git repo 配置为仅允许某些用户创建 TAG？ 对于分支也有类似的问题：是否可以配置能够修改特定分支的用户列表？

所有这些配置的想法是：有许多开发人员的 git 存储库，我们希望有一些稳定的分支和标签列表。只有高级开发人员才能修改这些分支并创建标签。 所有其他开发人员仍然可以创建分支等。但是如果开发人员想要将他的更改推广到稳定分支之一，他必须联系高级人员要求他进行合并...

谢谢

Answer 1

Gerrit（主要是代码审查系统）几乎完全按照您的描述解决了这个问题。

您定义组，然后设置存储库权限，确定谁可以在分支中推送审核、谁可以将更改直接推送到分支、谁可以推送标签（各种类型），甚至谁可以查看/推送到您的绝密分支。

我们的 gerrit 实例向全世界开放，尽管我们确实限制了谁可以推送什么以及在哪里（并且有一些某些项目的合作者可以比其他项目做得更多）。

Answer 2

您可以使用 .git/refs/heads 和 .git/refs/tags 上的标准文件访问规则来限制访问。例如，如果您将 .git/refs/tags 模式设置为 775，则只有拥有 .git/refs/tags 的组的成员才能创建标签。同样，您可以限制对 .git/refs/heads/foo 的读取权限，以便只有具有读取权限的人才能签出分支 foo，并且只有具有 .git/refs/heads 写入权限的人才能创建新分支分支机构。然而，这是一种不可靠的技术，最好使用具有适当访问权限的不同存储库。

Answer 3

对于分支和带注释的标签（即可以推送/拉取的版本化标签），gitolite< /strong> 可以提供这种访问控制。

请参阅“匹配 ref 和 refex”（gitolite 3.x）

这种该工具允许保护“中央”存储库：如果您有正确的凭据，您可以克隆它们并使用本地副本执行您想要的操作，但是一旦您想要推迟，gitolite 将控制与该存储库相关的权限远程仓库。

如果未提供引用，则默认为 refs/.*，例如在如下规则中：

RW              =   alice

不以 refs/（或 VREF/）开头的引用被假定以 refs/heads/ 开头。
这意味着普通分支可以方便地写成这样：

RW  master      =   alice
# becomes 'refs/heads/master' internally

而标签需要完全限定：

RW  refs/tags/v[0-9]    =   bob

---

因此默认情况下，您无法推送标签，除非有明确的 refs/tag/ 规则允许您的用户或用户组使用它。

Answer 4

通过阅读文档和个人经验，我了解到 Git 并不是为了以这种方式使用而设计的。您所描述的内容可以通过多存储库场景轻松处理，其中较少的开发人员推送到开发存储库，而高级开发人员从中提取更改、合并、测试等...然后部署到生产存储库，其中任何开发者可以拉。