GIT y GitHub: ¿cómo puedo saber quién consiguió un compromiso en un repository?

En GitHub:

Eve escribe un código en su bifurcación de algún proyecto popular, se compromete con "Eve" <eve@example.com> y envía una request de extracción en sentido ascendente.

Alice no se da count de que el código de Eve contiene una puerta trasera al popular proyecto en el que trabaja, cree que el código es excelente y combina la request de extracción.

Más tarde, todos son propiedad.

Bob, el jefe de Alicia, quisiera despedir a cualquiera que haya obtenido el código. Hace un git log --full , y ve:

 commit deadbeef Author: Eve <eve@example.com> Commit: Eve <eve@example.com> 

git log --fuller no ayuda, y Eve no tiene derecho de git log --fuller directo al repository.

Bob puede investigar el historial de requestes de extracción y encontrarlo de esa manera, pero eso apesta. ¿Hay alguna manera de resolver esto localmente?

En general, con git, puede usar git signoff (consulte ¿ Para qué sirve la function de session en Git? ) Y luego agregue un gancho de actualización para rechazar cualquier inserción que no tenga firma. Sin embargo, GitHub no parece permitir en general ganchos personalizados, pero podría agregar un gancho posterior a la recepción para registrar todos los futuros events push:

http://help.github.com/post-receive-hooks/

Si este fue un evento que ya ocurrió, podría ser difícil (¿o imposible?) Localizarlo. Es posible que pueda ver los loggings de git reflog y ssh, pero no estoy seguro de si GitHub proporciona dicha información. Si realmente fue una violación de security, al less valdría la pena preguntarles qué loggings tienen.