Сведения о проверке подписи фиксации

С помощью GPG, SSH или S/MIME можно подписывать теги и фиксации локально. Эти теги или коммиты помечаются как проверенные GitHub , чтобы другие люди могли быть уверены, что изменения исходят из надёжного источника.

Sign your commits with GPG

Статья 1 из 7
Следующий:Проверка наличия ключей GPG

В этой статье

Сведения о проверке подписи фиксации

Вы можете локально подписывать фиксации и теги, чтобы обеспечить для других пользователей уверенность в происхождении внесенных изменений. Если у коммита или тега есть подпись GPG, SSH или S/MIME, поддающаяся криптографической проверке, GitHub фикс или тег отмечается как «Verified» или «Partial verified.

Снимок экрана: фиксация в списке фиксаций для репозитория. "Проверено" выделено оранжевым контуром.

Для большинства отдельных пользователей GPG или SSH будет лучшим выбором для подписывания фиксаций. Подписи S/MIME обычно требуются в контексте более крупной организации. Подписи SSH создавать проще всего. Вы даже можете загрузить свой существующий ключ GitHub аутентификации, чтобы использовать его как ключ для подписи. Создание ключа подписывания GPG сложнее создания ключа SSH, но в GPG есть функции, отсутствующие у SSH. Если ключ GPG больше не используется, может истечь срок его действия или он может быть отозван. Подпись GPG может включать сведения об истечении срока действия или отмене.

Фиксации и теги имеют следующие состояния проверки в зависимости от того, включен ли режим бдительности. По умолчанию режим бдительности не включен. Сведения о включении режима бдения см. в разделе Отображение состояний проверки для всех фиксаций.

Подписывание фиксаций отличается от утверждения фиксации. Дополнительные сведения о выходе из фиксаций см. в разделе Управление политикой утверждения фиксаций для репозитория.

Состояния по умолчанию

СостояниеDescription
ПровереноФиксация подписана, а подпись успешно проверена.
НепроверенныеФиксация подписана, но подпись нельзя проверить.
Состояние проверки отсутствуетФиксация не подписана.

Проверка подписи сохраняемой фиксации

Независимо от выбора подписи — GPG, SSH или S/MIME — после проверки подписи фиксации она остается проверенной в сети своего репозитория. См . раздел AUTOTITLE.

Когда подпись коммита проверяется при отправке в GitHub, рядом с коммитом сохраняется запись подтверждения. Эта запись не может быть изменена и сохранится, чтобы подписи оставались проверенными с течением времени, даже если ключи подписи поворачиваются, отзываются или если участники покидают организацию.

Запись проверки включает метку времени при завершении проверки. Эта постоянная запись гарантирует согласованное проверенное состояние, предоставляя стабильный журнал вкладов в репозитории. Вы можете просмотреть эту временную метку, наведя курсор на значок «Verified» или GitHub получив доступ к коммиту через REST API, который содержит verified_at поле. См . раздел AUTOTITLE.

Постоянная проверка подписи коммита применяется к новым коммитам, отправленным в GitHub. Для любых коммитов, появившихся до этой функции, при следующей проверке GitHubподписи коммита будет создана постоянная запись, что поможет гарантировать стабильность и надёжность проверенных статусов на протяжении всей истории репозитория.

Записи сохраняются даже после отзыва и истечения срока действия

Проверка подписи сохраняемой фиксации отражает проверенное состояние фиксации во время проверки. Это означает, что если ключ подписи позже отозван, истек или изменен, ранее проверенные фиксации сохраняют их проверенное состояние на основе записи, созданной во время начальной проверки. GitHub не будет повторно проверять ранее подписанные коммиты и ретроспективно корректировать их статус верификации в ответ на изменения состояния ключа. Организациям может потребоваться управлять ключевыми состояниями напрямую, чтобы соответствовать их политикам безопасности, особенно если планируется частое смена ключей или отмена.

Запись проверки распространяется на сеть репозитория.

Запись проверки сохраняется в сети репозитория, то есть если одна и та же фиксация отправляется повторно в тот же репозиторий или в любой из его вилок, существующая запись проверки повторно используется. Это позволяет GitHub поддерживать согласованный верифицированный статус между связанными репозиториями без повторной проверки коммита при его появлении в сети. Это сохраняемость усиливает единое и надежное представление подлинности фиксации во всех экземплярах фиксации в сети репозитория.

Проверка подписи для перемещения из одной ветви в другую и слияния

При использовании варианта Перемещение и слияние для запроса на вытягивание важно помнить, что фиксации в головной ветви добавляются в базовую ветвь без проверки подписи фиксации. При использовании этого варианта GitHub создает измененную фиксацию, используя данные и содержимое исходной фиксации. Это означает, что GitHub не создает новую фиксацию и не может подписать ее как обычный пользователь системы. GitHub не имеет доступа к закрытым ключам для подписывания этой фиксации, поэтому не может подписать фиксацию от имени пользователя.

Чтобы обойти это ограничение, следует переместить изменения из одной ветви в другую и объединить их локально, а затем отправить изменения в базовую ветвь запроса на вытягивание.

Дополнительные сведения см. в разделе О методах слияния на GitHub.

Состояния с включенным режимом бдительности

СостояниеDescription
ПровереноФиксация подписана, подпись успешно проверена, а пользователь, выполнивший фиксацию — единственный автор, который включил строгий режим.
Частично провереноФиксация подписана, и подпись успешно проверена, но у фиксации есть автор, который: a) не является автором фиксации, и б) включил строгий режим. В этом случае подписывание фиксации не гарантирует согласие автора, поэтому фиксация проверяется только частично.
НепроверенныеЛюбое из следующих утверждений верно:
— фиксация подписана, но подпись невозможно проверить;
— фиксация не подписана, и автор фиксации включил строгий режим;
— фиксация не подписана, и автор включил строгий режим.

Администраторы репозитория могут принудительно применить обязательное подписание фиксации в ветви, чтобы заблокировать все неподписанные и непроверенные фиксации. Дополнительные сведения см. в разделе Сведения о защищенных ветвях.

Вы можете проверить состояние проверки подписанных фиксаций или тегов на GitHub и просмотреть, почему подписи фиксации могут быть непроверены. Дополнительные сведения см. в разделе Проверка состояния проверки сигнатуры фиксации и тега.

GitHub будет автоматически использовать GPG для подписания коммитов, которые вы создаёте через веб-интерфейс. Коммиты, подписанные GitHub , будут иметь подтверждённый статус. Вы можете проверить подпись локально с помощью открытого ключа, доступного по адресу https://github.com/web-flow.gpg.

По желанию вы можете выбрать, чтобы GitHub GPG sign commits вы делали в GitHub Codespaces. Для получения дополнительной информации об включении верификации GPG для ваших кодовых пространств см. AUTOTITLE.

Проверка GPG подписи фиксации

Вы можете использовать GPG для подписывания фиксаций с помощью ключа GPG, который вы создаете самостоятельно.

GitHub использует библиотеки OpenPGP, чтобы подтвердить, что ваши локально подписанные коммиты и теги криптографически проверяются по публичному ключу, который вы добавили в аккаунт на GitHub.com.

Чтобы подписать коммиты с помощью GPG и подтвердить эти коммиты на GitHub, следуйте следующим шагам:

  1. Проверьте наличие существующих ключей GPG.
  2. Создайте новый ключ GPG.
  3. Добавьте GPG-ключ в свой GitHub аккаунт
  4. Расскажите в Git о ключе для подписывания.
  5. Подпишите фиксации.
  6. Подпишите теги.

Проверка подписи фиксаций SSH

Вы можете использовать SSH для подписывания фиксаций с помощью ключа SSH, который вы создаете самостоятельно. Дополнительные сведения см. в справочной документации по Git.user.Signingkey Если вы уже используете SSH-ключ для аутентификации GitHub, вы также можете снова загрузить этот же ключ для использования в качестве ключа подписи. Количество ключей подписывания, которые можно добавить в учетную запись, не ограничено.

GitHub использует ssh_data, библиотеку открытый код Ruby, чтобы подтвердить, что ваши локально подписанные коммиты и теги криптографически проверяются по публичному ключу, добавленному в аккаунт GitHub.com.

Примечание.

Проверка подписи SSH доступна в Git 2.34 или более поздней версии. Сведения об обновлении версии Git см. на веб-сайте Git.

Чтобы подписать коммиты с помощью SSH и подтвердить эти коммиты GitHub, следуйте следующим шагам:

  1. Проверьте существующие ключи SSH
  2. Создание нового ключа SSH
  3. Добавьте ключ SSH для подписи в свой GitHub аккаунт
  4. Расскажите в Git о ключе для подписывания.
  5. Подпишите фиксации.
  6. Подпишите теги.

Проверка S/MIME подписи фиксации

Вы можете использовать S/MIME для подписывания фиксаций с помощью ключа X.509, выданного вашей организацией.

GitHub использует пакет Debian ca-certificates, тот же хранилище доверия, что и браузеры Mozilla, чтобы подтвердить, что ваши локально подписанные коммиты и теги криптографически проверяются по публичному ключу в доверенном корневом сертификате.

Примечание.

Проверка подписи S/MIME доступна в Git 2.19 или более поздней версии. Сведения об обновлении версии Git см. на веб-сайте Git.

Чтобы подписать коммиты с помощью S/MIME и подтвердить эти коммиты GitHub, следуйте следующим шагам:

  1. Расскажите в Git о ключе для подписывания.
  2. Подпишите фиксации.
  3. Подпишите теги.

Вам не нужно загружать свой публичный ключ в GitHub.

Проверка подписи для ботов

Организации, GitHub Apps требующие подписания коммитов, могут использовать ботов для подписания коммитов. Если у коммита или тега есть криптографически верифицируемая подпись бота, GitHub фиксация или тег отмечается как проверенные.

Проверка подписи для ботов будет работать только в том случае, если запрос проверен и аутентифицирован как GitHub App бот или и не содержит информации о пользовательском авторе, пользовательском коммиттере и не содержит пользовательских сигнатур, таких как API Commits.

Дополнительные материалы

Проверка наличия ключей GPG