<div dir="ltr">I think this is the only project where people are concerened wether commit messages are signed or not.<br><br>Commit messages should be merged only upon their correctness, not their signature.<br><br>I could care less if I receive a buggy patch that&#39;s signed.</div>

<div class="gmail_extra"><br clear="all"><div><a href="http://twitter.com/gubatron" target="_blank">http://twitter.com/gubatron</a><br></div>
<br><br><div class="gmail_quote">On Sat, Aug 23, 2014 at 2:17 AM, Troy Benjegerdes <span dir="ltr">&lt;<a href="mailto:hozer@hozed.org" target="_blank">hozer@hozed.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="HOEnZb"><div class="h5">On Fri, Aug 22, 2014 at 09:20:11PM +0200, xor wrote:<br>
&gt; On Tuesday, August 19, 2014 08:02:37 AM Jeff Garzik wrote:<br>
&gt; &gt; It would be nice if the issues and git repo for Bitcoin Core were not<br>
&gt; &gt; on such a centralized service as github, nice and convenient as it is.<br>
&gt;<br>
&gt; Assuming there is a problem with that usually is caused by using Git the wrong<br>
&gt; way or not knowing its capabilities. Nobody can modify / insert a commit<br>
&gt; before a GnuPG signed commit / tag without breaking the signature.<br>
&gt; More detail at the bottom at [1], I am sparing you this here because I suspect<br>
&gt; you already know it and there is something more important I want to stress:<br>
&gt;<br>
&gt; Bitcoin has currently 4132 forks on Github. This means that you can get<br>
&gt; contributions by pull requests from 4132 developers. That is a HUGE amount,<br>
&gt; and you shouldn&#39;t ditch that due to not using all features of git :)<br>
&gt; To get a grasp of how much that is: When you search projects with more than<br>
&gt; 4100 forks, there are only 32 of them!<br>
&gt; You are one of the top open source projects, and you should be grateful for<br>
&gt; that and keep Github up so the other people can send you pull requests with<br>
&gt; their improvements :) Volunteer contributions need to be honored and made as<br>
&gt; easy as possible, for people are investing their personal time.<br>
&gt;<br>
&gt; Greetings and thanks for your work,<br>
&gt;       xor, one developer of <a href="https://freenetproject.org" target="_blank">https://freenetproject.org</a><br>
&gt;<br>
&gt;<br>
&gt; [1] If you GPG-sign a commit / tag, you sign its hash, including the hash of<br>
&gt; the previous commit. So is a chain of hashes and thus of trust from all<br>
&gt; commits up to what is signed. It&#39;s pretty similar to the blockchain actually<br>
&gt; :)<br>
&gt; So Github cannot modify anything. If they did,  the head of the hash-chain<br>
&gt; would change, and thus the signature would break. Git would notify people<br>
&gt; about that when they pull.<br>
&gt; Of course people can still ignore that warning and let Github rewrite their<br>
&gt; Git history. But people who aren&#39;t educated about this shouldn&#39;t be release<br>
&gt; managers. They should not even have push access to your main repository, they<br>
&gt; should only be sending pull requests. Thats is where the decentralization of<br>
&gt; Git is: In the pull-requests. The people who deal with them should verify tag<br>
&gt; and possibly even commit signatures carefully, and not accept anything which<br>
&gt; is not signed. Also, before deploying a binary, the very same commit which is<br>
&gt; going to become a binary has to be given a signed tag by the release manager,<br>
&gt; and by everyone who reviews the code. The person who deploys the actual binary<br>
&gt; needs to verify that signature.<br>
&gt; There is an article which elaborates on some of the ways you have to ensure<br>
&gt; Github doesn&#39;t insert malicious code - but please read it with care, some of<br>
&gt; its recommendations are bad, especially the part where its about rebasing<br>
&gt; because that DOES rewrite history which is what you want to prevent:<br>
&gt; <a href="http://mikegerwitz.com/papers/git-horror-story" target="_blank">http://mikegerwitz.com/papers/git-horror-story</a><br>
&gt;<br>
&gt;<br>
<br>
<br>
</div></div>This is why I clone git to mercurial, which is generally designed around the<br>
assumption that history is immutable. You can&#39;t rewrite blockchain history,<br>
and we should not be re-writing (rebasing) commit history either.<br>
<br>
The problem with github is it&#39;s too tempting to look at the *web page*, which<br>
is NOT pgp-signed, and hit the &#39;approve&#39; button when you might have someone<br>
in the middle approving an unsigned changeset because you&#39;re in a hurry to<br>
get the latest new critical OpenSSL 0day security patch build released.<br>
<br>
We need multiple redundant &#39;master&#39; repositories run by different people in<br>
different jurisdictions that get updated on different schedules, and have all<br>
of these people pay attention to operational security, and not just outsource<br>
it all to github because it&#39;s convenient.<br>
<br>
<br>
There&#39;s no reason to *stop* using github, cause it *is* easy... but you want<br>
to have multiple review of *the actual code*, not just signatures and see<br>
if the changes really do make sense.<br>
<div class="im HOEnZb"><br>
--<br>
----------------------------------------------------------------------------<br>
Troy Benjegerdes                 &#39;da hozer&#39;                  <a href="mailto:hozer@hozed.org">hozer@hozed.org</a><br>
7 elements      earth::water::air::fire::mind::spirit::soul        <a href="http://grid.coop" target="_blank">grid.coop</a><br>
<br>
      Never pick a fight with someone who buys ink by the barrel,<br>
         nor try buy a hacker who makes money by the megahash<br>
<br>
<br>
</div><div class="im HOEnZb">------------------------------------------------------------------------------<br>
Slashdot TV.<br>
Video for Nerds.  Stuff that matters.<br>
<a href="http://tv.slashdot.org/" target="_blank">http://tv.slashdot.org/</a><br>
</div><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Bitcoin-development mailing list<br>
<a href="mailto:Bitcoin-development@lists.sourceforge.net">Bitcoin-development@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/bitcoin-development" target="_blank">https://lists.sourceforge.net/lists/listinfo/bitcoin-development</a><br>
</div></div></blockquote></div><br></div>