git rebase 可以完全删除远程历史记录吗？

Question

当我们考虑在工作中从 SVN 迁移到 git 时，一位同事提出了这样的担忧：恶意或容易发生事故的开发人员可能会使用 git rebase 从我们的共享存储库中删除远程历史记录。

编辑：正如答案中所指出的，也可以使用 git push origin :branch-name 从远程存储库中删除整个分支。

这是一个现实问题吗？如果是这样，我们可以采取什么方法来预防呢？

Answer 1

我倾向于同意你的同事的观点，这里存在一个问题，因为：

• 无论你多么信任你的提交者，总是存在人为错误的可能性，
• 更繁重的审查流程（例如 Gerrit）并不总是合适
• 从备份恢复可能会很慢和 PITA

您考虑过 receive.denyNonFastForwards 和 receive.denyDeletes 配置参数？ AFAICT 这些在 Git 1.6 及以上版本中可用。

来自 Pro Git：

如果您对已经推送的提交进行变基，然后尝试推送
再次，或者尝试将提交推送到远程分支
不包含远程分支当前指向的提交，
你会被拒绝。这总体来说是个好政策；但在这种情况下
变基后，您可能会确定自己知道自己在做什么并且可以
使用 -f 标志强制更新远程分支到您的推送命令。

禁用强制更新远程分支的功能
非快进引用，设置receive.denyNonFastForwards

执行此操作的另一种方法是通过服务器端接收挂钩，我将稍后介绍。这种方法可以让您执行更复杂的操作，例如拒绝对特定用户子集进行非快进。

正如作者提到的，此规则也可以通过接收挂钩（即 稍后在 Pro Git 中描述）。

这些技术应该可以防止共享存储库中意外（或恶意）丢失历史记录。

Answer 2

使用rebase可能会弄乱历史记录，但通常远程repo不会接受修改历史记录的更改（除非你使用git push --force），但更重要的是，具有push权限的开发人员可以完全删除分支（git push起源：分支名称）。所以简单的规则是：

• 不要让推送权限给你不信任的开发者。

• 共享存储库时，不要弄乱历史记录，避免对过去的提交使用变基。如果您需要从不同分支添加某些内容，请使用合并或樱桃选择，在这种情况下，历史记录不会受到影响。

• 您可以维持在共享存储库上不使用“push -f”的策略，在这种情况下，开发人员会知道，如果推送被拒绝，则会出现问题（很可能本地分支未与远程分支保持同步）并且应该在本地解决问题，而不是强制推送。

关于您的问题如何防止 - 使用 Gerrit 修订系统，这就像开发人员的本地存储库和主存储库之间的提交方式，具有良好的 Web 界面进行修订，您可以向任何人授予推送到修订存储库的权限，但更改将在验证和批准后合并到您的主分支中（这需要您的一些权限）通常授予核心开发人员）。您可能会在 Mahara 项目中看到它的样子： https://reviews.mahara.org 在这种特殊情况下，只有 gerrit 机器人可以推送到 master（此处），其他任何人都不允许。

Answer 3

企业 Git 服务器有一些扩展，例如 Gerrit，可以检测历史记录重写和分支删除，将它们备份到特殊的引用下，以便在需要时可以恢复它们，并且不会被垃圾收集删除。如果出于法律原因需要，Gerrit 管理员仍然可以删除选定的提交。