1. 簽署工作
Git 雖然是密碼級安全的,但它不是萬無一失的
如果從因特網上的其他人那裏拿取工作,並且想要驗證提交是不是真正地來自於可信來源
Git 提供了幾種通過 GPG 來簽署和驗證工作的方式。
2. GPG 介紹
首先,在開始簽名之前需要先配置 GPG 並安裝個人密鑰
$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub 2048R/0A46826A 2014-06-04
uid Jove (Git signing key) <[email protected]>
sub 2048R/874529A9 2014-06-04
如果還沒有安裝一個密鑰,可以使用 gpg --gen-key 生成一個
gpg --gen-key
一旦有一個可以簽署的私鑰,可以通過設置 Git 的 user.signingkey 選項來簽署
git config --global user.signingkey 0A46826A
現在 Git 默認使用你的密鑰來簽署標籤與提交
3. 簽署標籤
如果已經設置好一個 GPG 私鑰,可以使用它來簽署新的標籤
所有需要做的只是使用 -s 代替 -a 即可:
$ git tag -s v1.5 -m 'my signed 1.5 tag'
You need a passphrase to unlock the secret key for
user: "Jove <[email protected]>"
2048-bit RSA key, ID 800430EB, created 2014-05-04
如果在那個標籤上運行 git show,會看到你的 GPG 簽名附屬在後面:
$ git show v1.5
tag v1.5
Tagger: Jove <[email protected]>
Date: Sat May 3 20:29:41 2014 -0700
my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----
commit ca82a6dff817ec66f44342007202690a93763949
Author: Jove <[email protected]>
Date: Mon Mar 17 21:52:11 2008 -0700
changed the version number
4. 驗證標籤
要驗證一個簽署的標籤,可以運行 git tag -v [tag-name]
這個命令使用 GPG 來驗證簽名
爲了驗證能正常工作,簽署者的公鑰需要在你的鑰匙鏈中
$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Jasek <[email protected]> 1158138501 -0700
GIT 1.4.2.1
Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Jasek <[email protected]>"
gpg: aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9A
如果沒有簽署者的公鑰,那麼你將會得到類似下面的東西:
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'
5. 簽署提交
如果相對於標籤而言,對直接簽署到提交更感興趣的話
所有要做的只是增加一個 -S 到 git commit 命令
$ git commit -a -S -m 'signed commit'
You need a passphrase to unlock the secret key for
user: "Jove (Git signing key) <[email protected]>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
[master 5c3386c] signed commit
4 files changed, 4 insertions(+), 24 deletions(-)
rewrite Rakefile (100%)
create mode 100644 lib/git.rb
git log 也有一個 --show-signature 選項來查看及驗證這些簽名
$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun 4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Jove (Git signing key) <[email protected]>"
Author: Jove <[email protected]>
Date: Wed Jun 4 19:49:17 2014 -0700
signed commit
另外,也可以配置 git log 來驗證任何找到的簽名並將它們以 %G? 格式列在輸出中
$ git log --pretty="format:%h %G? %aN %s"
5c3386c G Jove signed commit
ca82a6d N Jove changed the version number
085bb3b N Jove removed unnecessary test code
a11bef0 N Jove first commit
這裏可以看到只有最後一次提交是簽署並有效的,而之前的提交都不是
git merge 與 git pull 可以使用 --verify-signatures 選項
來檢查並拒絕沒有攜帶可信 GPG 簽名的提交
如果使用這個選項來合併一個包含未簽名或有效的提交的分支時,合併不會生效
$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.
如果合併包含的只有有效的簽名的提交
合併命令會提示所有的簽名它已經檢查過了然後會繼續向前
$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Jove (Git signing key) <[email protected]>
Updating 5c3386c..13ad65e
Fast-forward
README | 2 ++
1 file changed, 2 insertions(+)
也可以給 git merge 命令附加 -S 選項來簽署自己生成的合併提交
下面的例子演示了驗證將要合併的分支的每一個提交都是簽名的
並且簽署最後生成的合併提交
$ git merge --verify-signatures -S signed-branch
Commit 13ad65e has a good GPG signature by Jove (Git signing key) <[email protected]>
You need a passphrase to unlock the secret key for
user: "Jove (Git signing key) <[email protected]>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
Merge made by the 'recursive' strategy.
README | 2 ++
1 file changed, 2 insertions(+)
6. 使用環境
如果決定在正常的工作流程中使用它,必須確保團隊中的每一個人都理解如何這樣做
如果沒有,將會花費大量時間幫助其他人找出並用簽名的版本重寫提交
在採用簽署成爲標準工作流程的一部分前,確保完全理解 GPG 及簽署帶來的好處
參考: git
以上內容,均根據git官網介紹刪減、添加和修改組成
相關推薦:
Git筆記(27) 儲藏與清理
Git筆記(26) 交互式暫存
Git筆記(25) 選擇修訂版本
Git筆記(24) 維護項目
Git筆記(23) 不同角色的貢獻
謝謝