总体上说，软件开发和技术是以非常快的速度发展的领域，所以持续学习是必不可少的。在互联网上花几分钟找一下，在 Twitter、媒体、RSS 订阅、Hacker News 和其它专业网站和社区等地方，就可以从文章、案例研究、教程、代码片段、新应用程序和信息中找到大量有用的信息。

保存和组织所有这些信息可能是一项艰巨的任务。在这篇文章中，我将介绍一些我用来组织信息的工具。

我认为在知识管理方面非常重要的一点就是避免锁定在特定平台。我使用的所有工具都允许以标准格式（如 Markdown 和 HTML）导出数据。

请注意，我的流程并不完美，我一直在寻找新工具和方法来优化它。每个人都不同，所以对我有用的东西可能不适合你。

用 NotionHQ 做知识库

对我来说，知识管理的基本部分是拥有某种个人知识库或维基。这是一个你可以以有组织的方式保存链接、书签、备注等的地方。

我使用 NotionHQ 做这件事。我使用它来记录各种主题，包括资源列表，如通过编程语言分组的优秀的库或教程，为有趣的博客文章和教程添加书签等等，不仅与软件开发有关，而且与我的个人生活有关。

我真正喜欢 NotionHQ 的是，创建新内容是如此简单。你可以使用 Markdown 编写它并将其组织为树状。

这是我的“开发”工作区的顶级页面：

NotionHQ 有一些很棒的其他功能，如集成了电子表格/数据库和任务板。

如果您想认真使用 NotionHQ，您将需要订阅付费个人计划，因为免费计划有所限制。我觉得它物有所值。NotionHQ 允许将整个工作区导出为 Markdown 文件。导出功能存在一些重要问题，例如丢失页面层次结构，希望 Notion 团队可以改进这一点。

作为一个免费的替代方案，我可能会使用 VuePress 或 GitBook 来托管我自己的知识库。

用 Pocket 保存感兴趣的文章

Pocket 是我最喜欢的应用之一！使用 Pocket，您可以创建一个来自互联网上的文章的阅读列表。每当我看到一篇看起来很有趣的文章时，我都会使用 Chrome 扩展程序将其保存到 Pocket。稍后，我会阅读它，如果我发现它足够有用，我将使用 Pocket 的“存档”功能永久保存该文章并清理我的 Pocket 收件箱。

我尽量保持这个阅读清单足够小，并存档我已经处理过的信息。Pocket 允许您标记文章，以便以后更轻松地搜索特定主题的文章。

如果原始网站消失，您还可以在 Pocket 服务器中保存文章的副本，但是您需要 Pocket Premium 订阅计划。

Pocket 还具有“发现”功能，根据您保存的文章推荐类似的文章。这是找到可以阅读的新内容的好方法。

用 SnippetStore 做代码片段管理

从 GitHub 到 Stack Overflow 的答案，到博客文章，经常能找到一些你想要保存备用的好代码片段。它可能是一些不错的算法实现、一个有用的脚本或如何在某种语言中执行某种操作的示例。

我尝试了很多应用程序，从简单的 GitHub Gists 到 Boostnote，直到我发现 SnippetStore。

SnippetStore 是一个开源的代码片段管理应用。SnippetStore 与其他产品的区别在于其简单性。您可以按语言或标签整理片段，并且可以拥有多个文件片段。它不完美，但是可以用。例如，Boostnote 具有更多功能，但我更喜欢 SnippetStore 组织内容的简单方法。

对于我每天使用的缩写和片段，我更喜欢使用我的编辑器 / IDE 的代码片段功能，因为它更便于使用。我使用 SnippetStore 更像是作为编码示例的参考。

Cacher 也是一个有趣的选择，因为它与许多编辑器进行了集成，他有一个命令行工具，并使用 Gi​​tHub Gists 作为后端，但其专业计划为 6 美元/月，我觉这有点太贵。

用 DevHints 管理速查表

Devhints 是由 Rico Sta. Cruz 创建的一个速查表集合。它是开源的，是用 Jekyll 生成的，Jekyll 是最受欢迎的静态站点生成器之一。

这些速查表是用 Markdown 编写的，带有一些额外的格式化支持，例如支持列。

我非常喜欢其界面的外观，并且不像可以在 Cheatography 等网站上找到 PDF 或图像格式的速查表， Markdown 非常容易添加新内容并保持更新和进行版本控制。

因为它是开源，我创建了自己的分叉版本，删除了一些我不需要的速查表，并添加了更多。

我使用速查表作为如何使用某些库或编程语言或记住一些命令的参考。速查表的单个页面非常方便，例如，可以列出特定编程语言的所有基本语法。

我仍在尝试这个工具，但到目前为止它的工作很好。

Diigo

Diigo 允许您注释和突出显示部分网站。我在研究新东西时使用它来注释重要信息，或者从文章、Stack Overflow 答案或来自 Twitter 的鼓舞人心的引语中保存特定段落！;）

就这些了。某些工具的功能方面可能存在一些重叠，但正如我在开始时所说的那样，这是一个不断演进的工作流程，因为我一直在尝试和寻找改进和提高工作效率的方法。

你呢？是如何组织你的知识的？请随时在下面发表评论。

谢谢你的阅读。

作者简介：Bruno Paz，Web 工程师，专精 #PHP 和 @Symfony 框架。热心于新技术。喜欢运动，@FCPorto 的粉丝！

via: https://dev.to/brpaz/how-do-i-organize-my-knowledge-as-a-software-engineer-4387

作者：Bruno Paz 选题：oska874 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这幅漫画讽刺了一些不懂架构的人，盲目使用复杂的、新的架构来尝试业务，建立了一堆无用的组件（灯/LAMP，即常见的 Linux+Apache+MySQL+PHP 网站架构），但却不知道该怎么用这些组件完成需求。

via: - http://turnoff.us/geek/wrong-architect/

作者：Daniel Stori 译者&点评：Besony 校对：wxy 合成：Bestony

本文由 LCTT 原创编译，Linux中国 荣誉推出

我之前写过为什么将 JSON 用于人类可编辑的配置文件是一个坏主意，今天我们将讨论 YAML 格式的一些常见问题。

默认情况下不安全

YAML 默认是不安全的。加载用户提供的（不可信的）YAML 字符串需要仔细考虑。

!!python/object/apply:os.system
args: ['ls /']

用 print(yaml.load(open('a.yaml'))) 运行它，应该给你这样的东西：

bin   etc   lib    lost+found  opt   root  sbin  tmp  var sys
boot  dev   efi    home        lib64 mnt   proc  run  srv usr
0

许多其他语言（包括 Ruby 和 PHP ¹ ）默认情况下也不安全（LCTT 译注：这里应该说的是解析 yaml）。在 GitHub 上搜索 yaml.load 会得到惊人的 280 万个结果，而 yaml.safe\_load 只能得到 26000 个结果。

提个醒，很多这样的 yaml.load() 都工作的很好，在配置文件中加载 yaml.load() 通常没问题，因为它通常（虽然并不总是！）来自“可靠源”，而且很多都来自静态的 YAML 测试文件。但是，人们还是不禁怀疑在这 280 万个结果中隐藏了多少漏洞。

这不是一个理论问题。在 2013 年，正是由于这个问题，所有的 Ruby on Rails 应用程序都被发现易受远程代码执行攻击。

有人可能会反驳说这不是 YAML 格式的错误，而是那些库实现错误的的问题，但似乎大多数库默认不是安全的（特别是动态语言），所以事实上这是 YAML 的一个问题。

有些人可能会反驳认为修复它就像用 safe_load() 替换 load() 一样容易，但是很多人都没有意识到这个问题，即使你知道它，它也是很容易忘记的事情之一。这是非常糟糕的 API 设计。

可能很难编辑，特别是对于大文件

YAML 文件可能很难编辑，随着文件变大，这个难度会快速增大。

一个很好的例子是 Ruby on Rails 的本地化翻译文件。例如：

en:
   formtastic:
     labels:
       title: "Title"  # Default global value
       article:
         body: "Article content"
       post:
         new:
           title: "Choose a title..."
           body: "Write something..."
         edit:
           title: "Edit title"
           body: "Edit body"

看起来不错，对吧？但是如果这个文件有 100 行怎么办？或者 1,000 行？在文件中很难看到 “where”，因为它可能在屏幕外。你需要向上滚动，但是你需要跟踪缩进，即使遵循缩进指南也很难，特别是因为 2 个空格缩进是常态而且 制表符缩进被禁止 ² 。

不小心缩进出错通常不算错误，它通常只是反序列化为你不想要的东西。这样只能祝你调试快乐！

我已经愉快地编写 Python 长达十多年，所以我已经习惯了显眼的空白，但有时候我仍在和 YAML 抗争。在 Python 中，虽然没有那种长达几页的函数，但数据或配置文件的长度没有这种自然限制，这就带来了缺点和损失了清晰度。

对于小文件，这不是问题，但它确实无法很好地扩展到较大的文件，特别是如果你以后想编辑它们的话。

这非常复杂

在浏览一个基本的例子时，YAML 看似“简单”和“显而易见”，但事实证明并非如此。YAML 规范有 23449 个单词，为了比较，TOML 有 3339 个单词，Json 有 1969 个单词，XML 有 20603 个单词。

我们中有谁读过全部规范吗？有谁读过并理解了全部？谁阅读过，理解进而记住所有这些？

例如，你知道在 YAML 中编写多行字符串有 9 种方法吗？并且它们具有细微的不同行为。

是的 :-/

如果你看一下那篇文章的修订历史，它就会变得更加有趣，因为文章的作者发现了越来越多的方法可以实现这一点，以及更多的细微之处。

它从预览开始告诉我们 YAML 规范，它表明（强调我的）：

本节简要介绍了 YAML 的表达能力。预计初次阅读的人不可能理解所有的例子。相反，这些选择用作该规范其余部分的动机。

令人惊讶的行为

以下会解析成什么（Colm O’Connor 提供的例子）：

- Don Corleone: Do you have faith in my judgment?
- Clemenza: Yes
- Don Corleone: Do I have your loyalty?

结果为：

[
    {'Don Corleone': 'Do you have faith in my judgment?'},
    {'Clemenza': True},
    {'Don Corleone': 'Do I have your loyalty?'}
]

那么这个呢：

python: 3.5.3
postgres: 9.3

3.5.3 被识别为字符串，但 9.3 被识别为数字而不是字符串：

{'python': '3.5.3', 'postgres': 9.3}

这个呢：

Effenaar: Eindhoven
013: Tilburg

013 是 蒂尔堡 Tilburg 的一个流行音乐场地，但 YAML 会告诉你错误答案，因为它被解析为八进制数字：

{11: 'Tilburg', 'Effenaar': 'Eindhoven'}

所有这一切，以及更多，就是为什么许多经验丰富的 YAMLer 经常会将所有字符串用引号引起来的原因，即使它不是严格要求。许多人不使用引号，而且很容易忘记，特别是如果文件的其余部分（可能由其他人编写）不使用引号。

它不方便

因为它太复杂了，它所声称的可移植性被夸大了。例如，考虑以下这个从 YAML 规范中获取的示例：

? - Detroit Tigers
  - Chicago cubs
:
  - 2001-07-23

? [ New York Yankees,
    Atlanta Braves ]
: [ 2001-07-02, 2001-08-12,
    2001-08-14 ]

抛开大多数读者可能甚至不知道这是在做什么之外，请尝试使用 PyYAML 在 Python 中解析它：

yaml.constructor.ConstructorError: while constructing a mapping
  in "a.yaml", line 1, column 1
found unhashable key
  in "a.yaml", line 1, column 3

在 Ruby 中，它可以工作：

{
    ["Detroit Tigers", "Chicago cubs"] => [
        #<Date: 2001-07-23 ((2452114j,0s,0n),+0s,2299161j)>
    ],
    ["New York Yankees", "Atlanta Braves"] => [
        #<Date: 2001-07-02 ((2452093j,0s,0n),+0s,2299161j)>,
        #<Date: 2001-08-12 ((2452134j,0s,0n),+0s,2299161j)>,
        #<Date: 2001-08-14 ((2452136j,0s,0n),+0s,2299161j)>
    ]
}

这个原因是你不能在 Python 中使用列表作为一个字典的键：

>>> {['a']: 'zxc'}
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  TypeError: unhashable type: 'list'

而这种限制并不是 Python 特有的，PHP、JavaScript 和 Go 等常用语言都有此限制。

因此，在 YAML 文件中使用这种语法，你将无法在大多数语言中解析它。

这是另一个从 YAML 规范的示例部分中获取的：

# Ranking of 1998 home runs
---
- Mark McGwire
- Sammy Sosa
- Ken Griffey

# Team ranking
---
- Chicago Cubs
- St Louis Cardinals

Python 会输出：

yaml.composer.ComposerError: expected a single document in the stream
  in "a.yaml", line 3, column 1
but found another document
  in "a.yaml", line 8, column 1

然而 Ruby 输出：

["Mark McGwire", "Sammy Sosa", "Ken Griffey"]

原因是单个文件中有多个 YAML 文档（--- 意味开始一个新文档）。在 Python 中，有一个 load_all 函数来解析所有文档，而 Ruby 的 load() 只是加载第一个文档，据我所知，它没有办法加载多个文档。

在实现之间存在很多不兼容。

目标实现了吗？

规范说明：

YAML 的设计目标安装优先级降序排列如下：

1. YAML 很容易被人类阅读。
2. YAML 数据在编程语言之间是可移植的。
3. YAML 匹配敏捷语言的原生数据结构。
4. YAML 有一个一致的模型来支持通用工具。
5. YAML 支持一次性处理。
6. YAML 具有表现力和可扩展性。
7. YAML 易于实现和使用。

那么它做的如何呢？

YAML 很容易被人类阅读。

只有坚持一小部分子集时才有效。完整的规则集很复杂 —— 远远超过 XML 或 JSON。

YAML 数据在编程语言之间是可移植的。

事实并非如此，因为创建常见语言不支持的结构太容易了。

YAML 匹配敏捷语言的原生数据结构。

参见上面。另外，为什么只支持敏捷（或动态）语言？其他语言呢？

YAML 有一个一致的模型来支持通用工具。

我甚至不确定这意味着什么，我找不到任何详细说明。

YAML 支持一次性处理。

这点我接受。

YAML 具有表现力和可扩展性。

嗯，是的，但它太富有表现力（例如太复杂）。

YAML 易于实现和使用。

$ cat `ls -1 ~/gocode/src/github.com/go-yaml/yaml/*.go | grep -v _test` | wc -l
9247

$ cat /usr/lib/python3.5/site-packages/yaml/*.py | wc -l
5713

结论

不要误解我的意思，并不是说 YAML 很糟糕 —— 它肯定不像使用 JSON 那么多的问题 —— 但它也不是非常好。有一些一开始并不明显的缺点和惊喜，还有许多更好的替代品，如 TOML 和其他更专业的格式。

就个人而言，当我有选择时，我不太可能再次使用它。

如果你必须使用 YAML，那么我建议你使用 StrictYAML，它会删除一些（虽然不是全部）比较麻烦的部分。

反馈

你可以发送电子邮件至 [email protected] 或创建 GitHub issue 以获取反馈、问题等。

脚注

1. 在 PHP 中你需要修改一个 INI 设置来获得安全的行为，不能只是调用像 yaml_safe() 这样的东西。PHP 想尽办法让愚蠢的东西越发愚蠢。干得漂亮！ ↩
2. 不要在这里做空格与制表符之争，如果这里可以用制表符的话，我可以（临时）增加制表符宽度来使它更易读——这是制表符的一种用途。 ↩

via: https://arp242.net/weblog/yaml_probably_not_so_great_after_all.html

作者：Martin Tournoij 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

可以让你赶快离开办公室的网络管理技巧和工具。

当工作任务堆积成山时，管理网络和系统就变得十分有压力了。没有人能真正意识到需要花费多长时间，每个人都希望在昨天就完成他们的工作。

所以难怪我们这么多人都被致力于找出有效的方法并与大家分享的开源精神所吸引。因为，当截止日期来临，并且当天没有足够多的时间时，如果你可以找到立刻施行的免费答案，那会非常有帮助。

因此，闲话少叙，下述是我的瑞士军刀，可以保证你在晚饭前离开办公室。

服务器配置和脚本

让我们看一看！

• NixCraft

使用该网站的搜索功能。经过十多年的定期更新，这里遍地是黄金！有用的脚本和方便的技巧可以立刻解决你的问题。这是我一般使用 Google 后的第二个选项。

• Webmin

它提供给你了一个很好的 Web 界面来帮助你远程编辑配置文件。它减少了在处理目录路径和 sudo nano 上花费的大量时间，在你处理多个客户时，非常方便。

• Windows 下的 Linux 子系统

现代工作场所的现实是大多数员工都运行着 Windows，而服务器机房中不断增长的设备则运行着 Linux 。因此，有些时候你会发现尝试在 Windows 桌面上执行管理任务。

你怎么做？装一个虚拟机？如果安装目前 Windows 10 中免费提供的 Linux 子系统的兼容层，实际上要快得多，配置要少的多。

这为你提供了一个 Bash 终端窗口，你可以在这个窗口中执行本地计算机上的 Bash 脚本和 Linux 二进制文件，可以完全访问 Windows 和 Linux 文件系统，以及安装网络驱动器。它包含 Ubuntu 、OpenSUSE、SLES、Debian 和 Kali 发行版。

• mRemoteNG

当你有 100 多个服务器需要去管理时，这会是一个出色的 SSH 和远程桌面客户端。

设置网络，这样你就无需再这样做了。

一个设计不周的网络是厌恶加班的管理员的死敌。

• 可拓展的 IP 寻址方案

IP 地址耗尽的可怕之处在于，当 IP 地址耗尽时，网络已经变的足够大，而新的寻址方案是众所周知的昂贵、令人痛苦的耗时。

没有人有时间做这件事！

到了某个时候，IPv6 终将到来，来拯救这世界。但在那之前，无论世界向我们扔了多少可穿戴设备、平板电脑、智能锁、灯、安全摄像头、VoIP 耳机和浓缩咖啡机，这些以不变应万变的 IP 寻址方案都应该让我们继续前行。

• Linux Chmod 权限备忘录

一个简短但是有用的 Bash 命令备忘录可以帮助你通过网络设置权限。所以，客户服务部的账单落入到勒索软件骗局时，你可以只恢复他们的文件，而不是整个公司的文件。

• VLSM 子网计算器

只需要输入你想要从地址空间中创建的网络的数量，以及每个网络所需要的主机数量，它就可以计算出所有的子网掩码应该是什么。

单一用途的 Linux 发行版

需要一个只做一件事的 Linux 容器？如果其他人已经在一个操作系统上搞好了一个小东西，你就可以快速安装它并马上投入使用。

下面这些每一个都使得我的工作变得轻松了许多。

• Porteus Kiosk

这个工具用来帮你把一台电脑上锁定到一个浏览器上。通过稍稍一些调整，你甚至可以把浏览器锁定在一个特定的网站上。它对于公共访问机器来说非常方便。它可以与触摸屏或键盘鼠标配合使用。

• Parted Magic

这是一个你可以从 USB 驱动器启动的，可以用来划分磁盘驱动器、恢复数据并运行基准测试工具的操作系统。

• IPFire

啊哈～我还是不敢相信有人把路由器/防火墙/代理组合成为“我尿火”（LCTT 译注：IPFire 和 “I pee Fire“ 同音)。这是我在这个 Linux 发行版中第二喜欢的东西。我最喜欢的是它是一个非常可靠的软件套件，设置和配置十分容易，而且有一系列的插件可以拓展它。

那么，你呢？你发现了哪些工具、资源和备忘录可以让我们的工作日更加的轻松？我很高兴知道，请在评论中分享您的工具。

via: https://opensource.com/article/18/7/tools-admin

作者：Grant Hamono 选题：lujun9972 译者：bestony 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我们继续我们的 PGP 实践系列，来看看签名标签的标签和提交，这可以帮你确保你的仓库没有被篡改。

在本系列教程中，我们提供了一个使用 PGP 的实用指南，包括基本概念和工具、生成和保护你的密钥。如果你错过了前面的文章，你可以查看下面的链接。在这篇文章中，我们谈一谈在 Git 中如何集成 PGP、使用签名的标签，然后介绍签名提交，最后添加签名推送的支持。

• 第一部分：基本概念和工具
• 第二部分：生成你的主密钥
• 第三部分：生成 PGP 子密钥
• 第四部分：将主密钥移到离线存储中
• 第五部分：将子密钥移到硬件设备中

Git 的核心特性之一就是它的去中心化本质 —— 一旦仓库克隆到你的本地系统，你就拥有了项目的完整历史，包括所有的标签、提交和分支。然而由于存在着成百上千的克隆仓库，如何才能验证你下载的仓库没有被恶意的第三方做过篡改？你可以从 GitHub 或一些貌似官方的位置来克隆它们，但是如果有些人故意欺骗了你怎么办？

或者在你参与的一些项目上发现了后门，而 “Author” 行显示是你干的，然而你很确定 不是你干的，会发生什么情况？

为解决上述问题，Git 添加了 PGP 集成。签名的标签通过确认它的内容与创建这个标签的开发者的工作站上的内容完全一致来证明仓库的完整性，而签名的提交几乎是不可能在不访问你的 PGP 密钥的情况下能够假冒你。

清单

• 了解签名的标签、提交和推送（必要）
• 配置 git 使用你的密钥（必要）
• 学习标签如何签名和验证（必要）
• 配置 git 总是签名带注释标签（推荐）
• 学习提交如何签名和验证工作（必要）
• 配置 git 总是签名提交（推荐）
• 配置 gpg-agent 选项（必要）

考虑事项

git 实现了 PGP 的多级集成，首先从签名标签开始，接着介绍签名提交，最后添加签名推送的支持。

了解 Git 哈希

git 是一个复杂的东西，为了你能够更好地掌握它如何集成 PGP，你需要了解什么是”哈希“。我们将它归纳为两种类型的哈希：树哈希和提交哈希。

树哈希

每次你向仓库提交一个变更，对于仓库中的每个子目录，git 都会记录它里面所有对象的校验和哈希 —— 内容（blobs）、目录（trees）、文件名和许可等等。它只对每次提交中发生变更的树和内容做此操作，这样在只变更树的一小部分时就不必去重新计算整个树的校验和。

然后再计算和存储处于顶级的树的校验和，这样如果仓库的任何一部分发生变化，校验和将不可避免地发生变化。

提交哈希

一旦创建了树哈希，git 将计算提交哈希，它将包含有关仓库和变更的下列信息：

• 树哈希的校验和
• 变更前树哈希的校验和（父级）
• 有关作者的信息（名字、email、创作时间）
• 有关提交者的信息（名字、email、提交时间）
• 提交信息

哈希函数

在写这篇文章时，虽然研究一种更强大的、抗碰撞的算法的工作正在进行，但 git 仍然使用的是 SHA1 哈希机制去计算校验和。注意，git 已经包含了碰撞防范程序，因此认为对 git 成功进行碰撞攻击仍然是不可行的。

带注释标签和标签签名

在每个 Git 仓库中，标签允许开发者标记特定的提交。标签可以是 “轻量级的” —— 几乎只是一个特定提交上的指针，或者它们可以是 “带注释的”，它自己将成为 git 树中的项目。一个带注释标签对象包含所有下列的信息：

• 成为标签的提交的哈希的校验和
• 标签名字
• 关于打标签的人的信息（名字、email、打标签时间）
• 标签信息

一个 PGP 签名的标签是一个带有将所有这些条目封装进一个 PGP 签名的带注释标签。当开发者签名他们的 git 标签时，他们实际上是向你保证了如下的信息：

• 他们是谁（以及他们为什么应该被信任）

• 他们在签名时的仓库状态是什么样：

  • 标签包含的提交的哈希

    • 提交的哈希包含了顶级树的哈希
    • 顶级树哈希包含了所有文件、内容和子树的哈希
    • 它也包含有关作者的所有信息
    • 包含变更发生时的精确时间

当你克隆一个仓库并验证一个签名的标签时，就是向你以密码方式保证：仓库中的所有内容、包括所有它的历史，与开发者签名时在它的计算机上的仓库完全一致。

签名的提交

签名的提交与签名的标签非常类似 —— PGP 签名的是提交对象的内容，而不是标签对象的内容。一个提交签名也给你提供了开发者签名时开发者树上的全部可验证信息。标签签名和提交的 PGP 签名提供了有关仓库和它的完整历史的完全一致的安全保证。

签名的推送

为了完整起见，在这里包含了签名的推送这一功能，因为在你使用这个功能之前，需要在接收推送的服务器上先启用它。正如我们在上面所说过的，PGP 签名一个 git 对象就是提供了开发者的 git 树当时的可验证信息，但不提供开发者对那个树意图相关的信息。

比如，你可以在你自己复刻的 git 仓库的一个实验分支上尝试一个很酷的特性，为了评估它，你提交了你的工作，但是有人在你的代码中发现了一个恶意的 bug。由于你的提交是经过正确签名的，因此有人可能将包含有恶意 bug 的分支推入到 master 分支中，从而在生产系统中引入一个漏洞。由于提交是经过你的密钥正确签名的，所以一切看起来都是合理合法的，而当 bug 被发现时，你的声誉就会因此而受到影响。

在 git push 时，为了验证提交的意图而不仅仅是验证它的内容，添加了要求 PGP 推送签名的功能。

配置 git 使用你的 PGP 密钥

如果在你的钥匙环上只有一个密钥，那么你就不需要再做额外的事了，因为它是你的默认密钥。

然而，如果你有多个密钥，那么你必须要告诉 git 去使用哪一个密钥。（[fpr] 是你的密钥的指纹）：

$ git config --global user.signingKey [fpr]

注意：如果你有一个不同的 gpg2 命令，那么你应该告诉 git 总是去使用它，而不是传统的版本 1 的 gpg：

$ git config --global gpg.program gpg2

如何使用签名标签

创建一个签名的标签，只要传递一个简单地 -s 开关给 tag 命令即可：

$ git tag -s [tagname]

我们建议始终对 git 标签签名，这样让其它的开发者确信他们使用的 git 仓库没有被恶意地修改过（比如，引入后门）：

如何验证签名的标签

验证一个签名的标签，只需要简单地使用 verify-tag 命令即可：

$ git verify-tag [tagname]

如果你要验证其他人的 git 标签，那么就需要你导入他的 PGP 公钥。请参考 “可信任的团队沟通” 一文中关于此主题的指导。

在拉取时验证

如果你从项目仓库的其它复刻中拉取一个标签，git 将自动验证签名，并在合并操作时显示结果：

$ git pull [url] tags/sometag

合并信息将包含类似下面的内容：

Merge tag 'sometag' of [url]

[Tag message]

# gpg: Signature made [...]
# gpg: Good signature from [...]

配置 git 始终签名带注释标签

很可能的是，你正在创建一个带注释标签，你应该去签名它。强制 git 始终签名带注释的标签，你可以设置一个全局配置选项：

$ git config --global tag.forceSignAnnotated true

或者，你始终记得每次都传递一个 -s 开关：

$ git tag -asm "Tag message" tagname

如何使用签名的提交

创建一个签名的提交很容易，但是将它纳入到你的工作流中却很困难。许多项目使用签名的提交作为一种 “Committed-by:” 的等价行，它记录了代码来源 —— 除了跟踪项目历史外，签名很少有人去验证。在某种意义上，签名的提交用于 “篡改证据”，而不是 git 工作流的 “篡改证明”。

为创建一个签名的提交，你只需要 git commit 命令传递一个 -S 标志即可（由于它与另一个标志冲突，所以改为大写的 -S）：

$ git commit -S

我们建议始终使用签名提交，并要求项目所有成员都这样做，这样其它人就可以验证它们（下面就讲到如何验证）。

如何去验证签名的提交

验证签名的提交需要使用 verify-commit 命令：

$ git verify-commit [hash]

你也可以查看仓库日志，要求所有提交签名是被验证和显示的：

$ git log --pretty=short --show-signature

在 git 合并时验证提交

如果项目的所有成员都签名了他们的提交，你可以在合并时强制进行签名检查（然后使用 -S 标志对合并操作本身进行签名）：

$ git merge --verify-signatures -S merged-branch

注意，如果有一个提交没有签名或验证失败，将导致合并操作失败。通常情况下，技术是最容易的部分 —— 而人的因素使得项目中很难采用严格的提交验证。

如果你的项目在补丁管理上采用邮件列表

如果你的项目在提交和处理补丁时使用一个邮件列表，那么一般很少使用签名提交，因为通过那种方式发送时，签名信息将会丢失。对提交进行签名仍然是非常有用的，这样其他人就能引用你托管在公开 git 树作为参考，但是上游项目接收你的补丁时，仍然不能直接使用 git 去验证它们。

尽管，你仍然可以签名包含补丁的电子邮件。

配置 git 始终签名提交

你可以告诉 git 总是签名提交：

git config --global commit.gpgSign true

或者你每次都记得给 git commit 操作传递一个 -S 标志（包括 —amend）。

配置 gpg-agent 选项

GnuPG agent 是一个守护工具，它能在你使用 gpg 命令时随时自动启动，并运行在后台来缓存私钥的密码。这种方式让你只需要解锁一次密钥就可以重复地使用它（如果你需要在一个自动脚本中签署一组 git 操作，而不想重复输入密钥，这种方式就很方便）。

为了调整缓存中的密钥过期时间，你应该知道这两个选项：

• default-cache-ttl（秒）：如果在 TTL 过期之前再次使用同一个密钥，这个倒计时将重置成另一个倒计时周期。缺省值是 600（10 分钟）。
• max-cache-ttl（秒）：自首次密钥输入以后，不论最近一次使用密钥是什么时间，只要最大值的 TTL 倒计时过期，你将被要求再次输入密码。它的缺省值是 30 分钟。

如果你认为这些缺省值过短（或过长），你可以编辑 ~/.gnupg/gpg-agent.conf 文件去设置你自己的值：

# set to 30 minutes for regular ttl, and 2 hours for max ttl
default-cache-ttl 1800
max-cache-ttl 7200

补充：与 ssh 一起使用 gpg-agent

如果你创建了一个 A（验证）密钥，并将它移到了智能卡，你可以将它用到 ssh 上，为你的 ssh 会话添加一个双因子验证。为了与 agent 沟通你只需要告诉你的环境去使用正确的套接字文件即可。

首先，添加下列行到你的 ~/.gnupg/gpg-agent.conf 文件中：

enable-ssh-support

接着，添加下列行到你的 .bashrc 文件中：

export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)

为了让改变生效，你需要杀掉正在运行的 gpg-agent 进程，并重新启动一个新的登入会话：

$ killall gpg-agent
$ bash
$ ssh-add -L

最后的命令将列出代表你的 PGP Auth 密钥的 SSH（注释应该会在结束的位置显示： cardno:XXXXXXXX，表示它来自智能卡）。

为了启用 ssh 的基于密钥的登入，只需要在你要登入的远程系统上添加 ssh-add -L 的输出到 ~/.ssh/authorized_keys 中。祝贺你，这将使你的 SSH 登入凭据更难以窃取。

此外，你可以从公共密钥服务器上下载其它人的基于 PGP 的 ssh 公钥，这样就可以赋予他登入 ssh 的权利：

$ gpg --export-ssh-key [keyid]

如果你有让开发人员通过 ssh 来访问 git 仓库的需要，这将让你非常方便。下一篇文章，我们将提供像保护你的密钥那样保护电子邮件帐户的小技巧。

via: https://www.linux.com/blog/learn/pgp/2018/3/protecting-code-integrity-pgp-part-6-using-pgp-git

作者：KONSTANTIN RYABITSEV 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

COPR 是软件的个人存储库的集合，它包含那些不在标准的 Fedora 仓库中的软件。某些软件不符合允许轻松打包的标准。或者它可能不符合其他 Fedora 标准，尽管它是自由开源的。COPR 可以在标准的 Fedora 包之外提供这些项目。COPR 中的软件不受 Fedora 基础设施的支持，或者是由项目自己背书的。但是，它是尝试新的或实验性软件的一种很好的方法。

这是 COPR 中一组新的有趣项目。

MindForger

MindForger 是一个 Markdown 编辑器和笔记本。除了你预期的 Markdown 编辑器的功能之外，MindForger 还允许你将单个文件拆分为多个笔记。组织笔记并在文件之间移动、搜索它们都很容易。我已经使用 MindForger 一段时间来记录学习笔记了，现在可以在 COPR 中找到它啦。

安装说明

该仓库目前在 Fedora 29 和 Rawhide 中提供 MindForger。要安装 MindForger，请使用以下命令：

sudo dnf copr enable deadmozay/mindforger
sudo dnf install mindforger

Clingo

Clingo 是使用回答集编程（ASP）建模语言解决逻辑问题的程序。使用 ASP，你可以将问题声明为一个逻辑程序，然后 Clingo 来解决。最后，Clingo 以逻辑模型的形式产生问题的解决方案，称为回答集。

安装说明

该仓库目前为 Fedora 28 和 29 提供 Clingo。要安装 Clingo，请使用以下命令：

sudo dnf copr enable timn/clingo
sudo dnf install clingo

SGVrecord

SGVrecord 是一个用于录制屏幕的简单工具。它允许你捕获整个屏幕或仅选择其中的一部分。此外，有没有声音都可以进行录制。SGVrecord 以 WebM 格式生成文件。

安装说明

该仓库目前为 Fedora 28、29 和 Rawhide 提供 SGVrecord。要安装 SGVrecord，请使用以下命令：

sudo dnf copr enable youssefmsourani/sgvrecord
sudo dnf install sgvrecord

Watchman

Watchman 是一个对文件更改进行监视和记录的服务。你可以为指定 Watchman 监视的目录树，以及定义指定文件发生更改时触发的操作。

安装说明

该仓库目前为 Fedora 29 和 Rawhide 提供 Watchman。要安装 Watchman，请使用以下命令：

sudo dnf copr enable eklitzke/watchman
sudo dnf install watchman

via: https://fedoramagazine.org/4-try-copr-december-2018/

作者：Dominik Turecek 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出