Git 1.7.9 sichert Austausch von Änderungen besser ab

Bild: openiconlibrary Junio C Hamano hat die Version 1.7.9 des Quellcodeverwaltungssystem Git freigegeben. Mit Hilfe der neuen "signed tags" können Entwickler nun beim Austausch von Änderungen per "Git Pull" sicherstellen, dass niemand den Code verändert hat, nachdem er veröffentlicht wurde.

Die von Hamano in einem Blog-Eintrag näher erläuterte Technik ist indirekt eine Folge des Einbruchs bei Kernel.org, denn nach diesem Vorfall haben die Kernel-Entwickler einige ihrer Arbeitsweisen auf Schwachstellen abgeklopft. Dabei fiel auf, dass es leicht unbemerkt bleiben kann, wenn ein Angreifer ein Git-Depot verändert, nachdem ein Subsystem-Verwalter dies veröffentlicht und Linus Torvalds bittet, die dort enthaltenen Änderungen in den Hauptentwicklungszweig von Linux zu integrieren. Die neuen Signaturen beseitigen zusammen mit den schon länger in Git enthaltenen Integritätsmechanismen die Gefahr, da Torvalds ähnlich wie bei GPG/PGP-signierten Mails sicherstellen kann, dass er beim Abrufen von Änderungen genau jene erhält, die die im Git-Jargon auch "Lieutenant" genannten Subsystem-Verwalter in einem Git-Pull-Request zur Integration eingereicht hat.

Hamano erläutert einige der weiteren Neuerungen der Version 1.7.9 in der Freigabe-Mail und einem begleitenden Blog-Eintrag. Dazu zählen die verstärkte Nutzung des Frameworks zur Internationalisierung und bessere Unterstützung für große Dateien; zudem erhielt Gitk Änderungen, die sich seit Anfang 2011 angesammelt hatten. In einer weiteren Mail erwähnt Hamano, welche Neuerungen möglicherweise in Git 1.7.10 einfließen.(thl)