Die Entwickler der Virtualisierungscontainer von Docker freuen sich über die vielen neuen Code-Zuträger, wollen aber mit einem Developer Certificate of Origin (DCO) nach dem Vorbild der Kernel-Entwickler sicherstellen, dass der Code wirklich von den Zuträgern stammt. Das hat aber einen Haken.
Die Idee stamme von den Entwicklern des Linux-Kernel, heißt es im Docker-Blog. Anstatt jeden einzelnen Entwickler ein Contributor License Agreement (CLA) unterschreiben zu lassen, sollen die Programmierer zukünftig eine DCO-Signatur in ihre Commits einfügen. Diese sei nahezu identisch mit der, den die Kernel-Entwickler verwenden und lässt sich in der Contributing-Datei nachlesen.
Die Coder sollen künftig eine Zeile wie
Docker-DCO-1.0-Signed-off-by: John Smith <jsmith@example.com> (github: jsmith_github)
in ihrem Commit ergänzen, mit der sie das DCO bestätigen. Auch eine rückwirkende Lösung soll es geben: So will man die bisherigen Docker-Entwickler anschreiben und ihnen einen einfachen Weg an die Hand geben, um sämtlichen bislang beigetragenen Code in einem Schritt zu signieren.
Obwohl der Schritt nachvollziehbar ist, gibt es aber auch einen Haken: Anonyme Entwickler oder solche, die Pseudonyme verwenden, können das DCO theoretisch nicht unterschreiben, da es die Nennung des echten Namens erfordert.
