ソースコードの信用
#セキュリティ #ソフトウェア開発
from ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計
ソースコード自体の安全な格納と配布が問題
ソフトウェアリポジトリの保護
最小アクセスの原則などの基本原理
コードの真正性と監査証跡
多くの VCS では、データベースのオブジェクトの識別子としてハッシュ値が使用される → 一度格納された情報の変更は不可能
Git では履歴自体がオブジェクトとして連想データベースに格納される
履歴の改ざんも難しい
だが、悪意あるユーザーが成りすますなどは可能
Git には信用された開発者の GPG 鍵でコミットやタグに署名する機能がある