我们使用 topgit 和 git 进行公司内部版本控制已经久矣，今天要求大家彻底清除 git 配置中的 push 选项。 要求使用如下命令，先找到遗留topgit错误配置的 git 配置文件：

$ find . -maxdepth 4 -name .git -type d | \
  while read x; do \
  grep -H push $x/config; done

然后对于包含有 push 语句的 config 文件，逐一用 vi 打开，删除包含的 push 语句。 我们为什么这么做呢？这涉及到 git 的 non-fast-forward 以及 topgit 0.7含之前版本的bug 和0.8 的改进。 为什么标题这么吓人呢？什么叫做核弹起爆密码？实际上，这是我们在 Subversion 培训中经常拿来打击商业版本控制工具的一个说法，就是说 SVN 能够将错误提交的代码库中的敏感数据彻底删除（包括历史的删除），这在商业版本控制工具是很难实现的。Git作为开源版本库的No.1，当然可以支持对敏感数据的彻底删除（但是不要在删除前被别人PULL走，否则要逐一“灭口” :X-P: ）。 Git的拆除核弹密码，就是如何进行 non-fast-forward的问题。

关于 Git 的FastForwards

Git 在执行 push 时，会执行一个检查：即远程分支的顶节点应该是本地将要 push 上去的新节点的子孙节点，否则报错“non-fast-forward”。 例如：

• 远程版本库中的版本更新（可能别人已经push了新的提交），本地还是旧的提交，拒绝push。(如果提交将会删除其他人的提交)

  远程版本库：---o---o---o---o
  本地版本库：---o---o

• 本地基于一个老版本做的改动，拒绝push 到服务器；

  远程版本库：---o---o---o---o
  本地版本库：---o---o
  　　　　　　        \--o'

正常情况下：

• 第一种情况，需要执行 git pull，本地更新到最新版本，当然也就无须 push 了。

  远程版本库：---o---o---o---o
  本地版本库：---o---o
  本地执行命令: git pull 之后
  本地版本库：---o---o---o---o

• 本地基于一个老版本做的改动，先要执行 git pull 并完成和服服务版本拒绝push 到服务器；

  远程版本库：---o---o---o---o
  本地版本库：---o---o
  　　　　　　        \--o'
  本地执行命令: git fetch; git merge; git commit 之后
  本地版本库：---o---o---o---o
  　　　　　　        \--o'---\o"
  然后 push 到远程服务器：git push
  远程版本库：---o---o---o---o---o"
  　　　　　　        \--o'-----/

但是如果真的要 Non-FastForwards 呢

• 后悔了！想要撤销之前到远程版本库的 PUSH

  远程版本库：---o---o---o---o (master)
  本地版本执行：git reset --hard HEAD^^ 之后
  本地版本库：---o---o (master)
  执行强制push：git push origin +master:master (注意其中的加号)
  之后远程版本库变迁为：---o---o (master)

• 同样远程的提交包含错误，需要强制用本地改动覆盖远程版本库的改动

  远程版本库：---o---o---o---o
  本地版本库：---o---o
  　　　　　　        \--o'
  执行命令　git push origin +master:master ，同样注意命令中的加号，强制覆盖远程版本库
  远程版本库变迁为：---o---o---o'

Topgit 0.7 的Bug

我们在使用 topgit 0.7 的时候，分支改动的相互覆盖，曾经让我非常烦恼。难道选择 topgit 是错误的？后来定位到问题是: topgit 在 .git/config 文件中增加了两行 push 配置：

[remote origin]
  ...
  push = +refs/top-bases/*:refs/top-bases/*
  push = +refs/heads/*:refs/heads/*

看到push配置命令中的加号了么？Topgit （0.7及更低版本）就是罪魁祸首。 参见 topgit 0.7版本的 tg-remote.sh

 ## Configure the remote git config --replace-all "remote.$name.fetch" "+refs/top-bases/*:refs/remotes/$name/top-bases/*" "\\+refs/top-bases/\\*:refs/remotes/$name/top-bases/\\*" git config --replace-all "remote.$name.push" "+refs/top-bases/*:refs/top-bases/*" "\\+refs/top-bases/\\*:refs/top-bases/\\*" git config --replace-all "remote.$name.push" "+refs/heads/*:refs/heads/*" "\\+refs/heads/\\*:refs/heads/\\*"

怎么解决这个问题呢？ 当时我们想到的办法是：配置 git 服务器，让git服务器不允许 non-fast-forward 的 PUSH，配置如下：

[receive]
denyDeletes = false
denyNonFastForwards = true

Topgit 0.8 的改进

当 topgit 升级后，我们发现，令人讨厌的 non-fast-forward 的 PUSH 语句不见了，即当执行：tg remote --populate origin 时，不会在 .git/config 中再生成讨厌的 push 配置命令，而是提供一个 tg push 命令来方便分支的 push。 当然这时候我们的 git 服务器中依然配置着，不允许 non-fast-forward 的PUSH。因为毕竟还有人在使用 topgit 0.7 以下版本，或者还存在使用 topgit 0.7及以下版本创建的 git 配置。

没有Non-FastForward的日子

很多时候，自信满满的push，发现有问题，想要撤销PUSH。或者有的提交应该在分支进行，而有的人在主线master上进行，需要撤销到服务器上的PUSH。 因为服务器已经配置了不允许 non-fast-forward，因此还要麻烦管理员，手动修改服务器的配置，暂时打开允许 non-fast-forward 提交。当用户完成 non-fast-forward PUSH后，在关闭服务器设置。太太麻烦了。

管理员愤怒了

管理员愤怒了，结果很严重：

• Topgit 必须 升级，而且要升级到 群英汇 改进后的 topgit 0.8 版本，参见 http://github.com/ossxp-com/topgit （改进见各个分支）
• 必须检查所有 .git/config 文件，将其中由 topgit 引入的 push 语句全部删除！
• 服务器配置为允许 non-fast-forward 提交。

管理员又提供了一个更暴力的命令，直接将找到的 config 文件中的 push 语句删除：

$ find . -maxdepth 4 -name .git -type d | \
  while read x; do \
    grep -q push $x/config  && \
    sed -i -e '/^\s*push\s*=/ d' $x/config; \
  done