安全研究人员发现高危供应链漏洞'GerriScary'(CVE-2025-1568),攻击者可向谷歌18个核心项目注入恶意代码。该漏洞源于Gerrit平台的配置缺陷,允许未授权用户通过复杂攻击链提交恶意代码。谷歌已修复该漏洞,但其他使用Gerrit的组织仍面临风险。
几天前,我在Gerrit提交了更改,发现文件的行结束符从LF变为CRLF,导致每一行与基础版本不同。LF是Unix风格,CRLF是Windows风格。在VS Code中,可以通过点击右下角的按钮轻松切换行结束符。
Google有两个内部代码审查工具:Critique和Gerrit。Critique允许作者突出显示不同组的更改列表,而Gerrit提供测试覆盖度指标和更详细的更改列表状态。在提交更改之前,需要通过三个强制性审批级别:LGTM、代码所有者和可读性。Gerrit和Critique具有跟踪需要哪些操作来解除特定更改阻塞的功能。Google的代码审查流程全面而周到,整个审查过程的中位延迟时间不到4小时。
谷歌使用两个内部代码审查工具:Critique和Gerrit。Critique主要面向大多数工程师,而Gerrit是开源的。两者提供仪表板以查看变更列表。代码提交需经过LGTM、代码所有者和可读性审查。谷歌的审查文化重视代码质量,审查过程快速高效,通常在4小时内完成。
使用Gerrit的REST API需要鉴权,可以通过获取Token和使用HTTP Basic鉴权的方式实现。也可以使用pygerrit2库来简化对Gerrit平台的API调用。
使用gerrit自带的数据库h2, 验证方式为HTTP, SMTP 服务器未配置 git 安装 可直接从yum 源安装 gerrit 安装 先添加gerrit 用户. gerrit 从2.10开始, 换成了新版界面. 几乎国内所有的镜像都会下载失败, 需要翻墙下载. 下载完成后, 初始化命令为: java -jar gerrrit-war init -d...
完成下面两步后,将自动完成登录并继续当前操作。
![[Git]Gerrit接口使用说明](https://2dogz.cn/static/favicon.png)
