Skip to main content

Gestion de la vérification des signatures de commit

GitHub vérifie les signatures GPG, SSH ou S/MIME pour faire savoir aux autres utilisateurs que vos commits sont issus d’une source approuvée. GitHub signe automatiquement les commits que vous effectuez à l’aide de l’interface web

À propos de la vérification des signatures de commit

À l’aide de GPG, de SSH ou de S/MIME, vous pouvez signer des étiquettes et des commits localement. Ces étiquettes ou validations (commits) sont marquées comme vérifiées sur GitHub afin que d’autres personnes puissent être certaines que les modifications proviennent d’une source approuvée.

Affichage des états de vérification pour tous vos commits

Vous pouvez activer le mode vigilant pour que la vérification des signatures de commit marque tous vos commits et toutes vos balises avec un état de vérification de signature.

Vérification des clés GPG existantes

Avant de générer une clé GPG, vous pouvez vérifier si vous n’en avez pas à disposition.

Génération d’une nouvelle clé GPG

Si vous n’avez pas de clé GPG à disposition, vous pouvez en générer une pour signer les commits et les étiquettes.

Ajout d’une clé GPG à votre compte GitHub

Pour configurer votre compte sur GitHub afin d’utiliser votre clé GPG nouvelle (ou existante), vous avez également besoin d’ajouter la clé de votre compte.

Informer Git de l’utilisation de votre clé de signature

Pour signer les commits localement, vous devez informer Git que vous voulez utiliser une clé GPG, SSH ou X.509 existante.

Association d’un e-mail à votre clé GPG

Votre clé GPG doit être associée à une adresse e-mail vérifiée correspondant à votre identité de commiteur.

Signature de commits

Vous pouvez signer les commits localement en utilisant GPG, SSH ou S/MIME.

Signature d’étiquettes

Vous pouvez signer les étiquettes localement en utilisant GPG, SSH ou S/MIME.