GIT y GitHub - ¿Cómo puedo saber quién consiguió un compromiso en un repositorio?

Question

En GitHub:

Eve escribe un código en su bifurcación de algún proyecto popular, confirma como "Eve" <eve@example.com>, y envía una solicitud de extracción en sentido ascendente.

Alice no se da cuenta de que el código de Eve contiene una puerta trasera para el popular proyecto en el que trabaja, cree que el código es excelente y combina la solicitud de extracción.

Más tarde, todos son propiedad.

Bob, el jefe de Alice, quisiera despedir a quien haya obtenido el código. Él hace un git log --full, y ve:

commit deadbeef 
Author: Eve <eve@example.com> 
Commit: Eve <eve@example.com> 

git log --fuller no ayuda, y Eva no tiene derechos de empuje directo en el repositorio.

Bob puede profundizar en el historial de solicitudes de extracción, y encontrarlo de esa manera, pero eso apesta. ¿Hay alguna manera de resolver esto localmente?

Answer 1

En general, con git, puede usar git signoff (vea What is the Sign Off feature in Git for?) y luego agregue un gancho de actualización para rechazar cualquier inserción que no tenga un inicio de sesión. Sin embargo, no parece GitHub para permitir que los ganchos personalizados en general, pero se puede añadir un post-recibir-gancho para registrar todos los eventos futuros de empuje:

http://help.github.com/post-receive-hooks/

Si este fue un evento que ya pasó, podría ser difícil (¿o imposible?) rastrear. Es posible que pueda ver los registros de git reflog y ssh, pero no estoy seguro de si GitHub proporciona dicha información. Si realmente fue una violación de seguridad, al menos valdría la pena preguntarles qué registros tienen.