Clincher

clincher是一个用于检查git仓库中所有提交是否已签名的工具，如果它们没有签名，那么之后有人为它们签了名来填补这一空白。

它隐含地信任git仓库中所有的密钥，目前处理不应该存在的密钥不在其范围内。

选项

• --rev-spec：仅检查git rev spec中的修订版本（如https://git-scm.cn/docs/gitrevisions#_specifying_ranges中所述）。默认是检查所有内容。
• --git-path：指定git仓库的根目录（默认为当前目录）
• --key-path：指定密钥路径（默认为"keys"）
• --manual-signing-path：指定手动签名的提交路径（默认为"manually_signed"）

信任的密钥

key-path文件夹包含所有信任用户的GPG密钥列表，该工具将自动导入这些密钥。要导出我们期望的格式的密钥，请运行gpg --export --armor <key id>（从gpg --list-keys获取密钥ID）并将其写入到key-path文件夹中，以".gpg"结尾的文件中。我们建议使用用户的姓名和今天的日期，以便于识别和处理过期的密钥。

请注意，即使密钥已过期，如果它已在过期之前用于签历史提交，则应保留它，否则您将有一个我们无法验证的提交。

未签名提交

如果一个提交未签名，会在相应的提交对应的 手动签名路径 文件夹中生成一个文件。这是提交的一个可签名的表示，用作填充缺失签名的手段，而不需要编辑 Git 历史，它将与提交本身一样被处理。它的命名格式为 <git hash> - <author>。

要签名提交，请使用以下命令

gpg --sign --armor --detach-sign <提交文件>

该文件应命名为 <git hash> - <author>.asc

上传新版本到 PyPi

我们使用 Flit 进行上传，以下命令有效

FLIT_USERNAME="<pypi 用户名>" FLIT_PASSWORD="<pypi 密码>" flit publish