Estoy investigando una forma de proteger y habilitar la responsabilidad de nuestros paquetes cuando se transfieren de nuestro equipo de desarrollo, a Q + A y, finalmente, a la implementación.
Inicialmente, he creado un cuadro de firma en el que nuestros desarrolladores pueden iniciar sesión y firmar los rpm con su clave creada por GnuPG. Luego mueven el paquete firmado a un directorio de 'buzón de salida' para que el control de calidad lo retire, y mueven su parte pública de la clave a un directorio de 'clave pública'. Sin embargo, esto no es ideal ya que cada usuario puede hacer varias claves públicas (falsas) ...
El objetivo final es forzar a que cada paquete completado sea firmado por un solo desarrollador para garantizar la responsabilidad y la integridad a medida que el paquete se traslada a nuestra plataforma de operaciones.
Por lo tanto, tengo algunas áreas en las que necesito ayuda / sugerencias con:
- ¿Cuál es la mejor manera de garantizar que cada usuario cree una sola clave? (¿Un guión tal vez?)
- ¿Cuál es la mejor manera de almacenar y recuperar estas claves que garantizan la integridad?
Muchas gracias.