Проверка подписи коммитов

Info

С помощью GPG вы можете подписывать коммиты локально. Такие коммиты помечаются на GitVerse как подтвержденные (верифицированные), чтобы другие пользователи могли быть уверены, что изменения поступают из доверенного источника.

О проверке подписи коммитов

Вы можете подписывать коммиты локально, чтобы подтвердить их подлинность и дать другим пользователям уверенность в том, что изменения действительно исходят от вас. Если коммит содержит криптографически проверяемую GPG-подпись, GitVerse помечает его как «Верифицирован».

Статусы верификации коммитов

СтатусОписание
ВерифицированКоммит подписан с помощью GPG, и подпись успешно проверена.
Не верифицированКоммит подписан, но подпись не может быть проверена (например, ключ был удален из аккаунта или поврежден).
Без статуса верификацииКоммит не подписан.

Проверка подписи коммитов

GitVerse проверяет GPG-подписи коммитов, чтобы подтвердить их подлинность и дать другим участникам уверенность в том, что изменения действительно исходят от указанного автора.

Когда вы отправляете подписанный коммит, GitVerse проверяет его подпись, используя публичные GPG-ключи, загруженные в ваш профиль. Если подпись совпадает с одним из ваших действующих ключей, коммит получает статус «Верифицирован».

Важно: в текущей реализации GitVerse статус верификации зависит от наличия ключа в профиле.
Если вы удалите GPG-ключ из своего аккаунта, все коммиты, подписанные этим ключом, перестанут быть верифицированными и будут отображаться как «Не верифицирован», даже если они были подтверждены ранее.

Это означает, что:

  1. Верификация не является постоянной.
  2. Для поддержания статуса «Верифицирован» ключ должен оставаться в вашем профиле.
  3. Если ключ был случайно удален, его можно повторно добавить — после этого коммиты снова станут верифицированными.

Рекомендуется сохранять резервные копии публичных ключей и удалять их из профиля только при полной уверенности, что они больше не нужны.

В будущих версиях GitVerse планируется ввести постоянную запись о проверке, которая будет сохранять статус «Верифицирован» даже после удаления ключа.

Проверка подписи при слиянии через веб-интерфейс

Когда вы выполняете слияние через веб-интерфейс GitVerse, результирующий коммит создается системой, а не локально пользователем.

В этом случае GitVerse автоматически подписывает такой коммит встроенным системным GPG-ключом. В интерфейсе коммит будет отображаться как «Верифицирован», но подпись будет принадлежать системному пользователю, а не автору изменений.

Эта подпись подтверждает, что коммит был сгенерирован GitVerse и не был изменен в процессе, но не подтверждает личность разработчика, написавшего исходный код.

Если вам требуется полная криптографическая привязка коммита к конкретному участнику, рекомендуется выполнять слияние локально, где вы можете подписать коммит своим собственным GPG-ключом и отправить результат в репозиторий вручную.

Проверка подписи коммитов с помощью GPG

Вы можете использовать GPG для подписи коммитов с помощью GPG-ключа, созданного вами самостоятельно.

Чтобы подписывать коммиты с помощью GPG и получать статус «Верифицирован» в GitVerse, выполните следующие шаги:

  1. Проверьте наличие существующих GPG-ключей.
  2. Сгенерируйте новый GPG-ключ.
  3. Добавьте публичный GPG-ключ в свой профиль GitVerse.
  4. Укажите в Git-настройках ваш ключ для подписи.
  5. Подписывайте коммиты.

Убедитесь, что email-адрес, указанный в вашем GPG-ключе, совпадает с подтвержденным email-адресом в вашем профиле GitVerse. В противном случае коммиты не будут помечены как верифицированные.

Вид графа

Связанные страницы