-
1. 开始
-
2. Git 基础
-
3. Git 分支
-
4. 服务器上的 Git
- 4.1 协议
- 4.2 在服务器上获取 Git
- 4.3 生成你的 SSH 公钥
- 4.4 设置服务器
- 4.5 Git Daemon
- 4.6 Smart HTTP
- 4.7 GitWeb
- 4.8 GitLab
- 4.9 第三方托管选项
- 4.10 总结
-
5. 分布式 Git
-
A1. 附录 A: 在其他环境中使用 Git
- A1.1 图形界面
- A1.2 在 Visual Studio 中使用 Git
- A1.3 在 Visual Studio Code 中使用 Git
- A1.4 在 IntelliJ / PyCharm / WebStorm / PhpStorm / RubyMine 中使用 Git
- A1.5 在 Sublime Text 中使用 Git
- A1.6 在 Bash 中使用 Git
- A1.7 在 Zsh 中使用 Git
- A1.8 在 PowerShell 中使用 Git
- A1.9 总结
-
A2. 附录 B: 在你的应用中嵌入 Git
-
A3. 附录 C: Git 命令
7.4 Git 工具 - 对你的工作签名
对你的工作签名
Git 在密码学上是安全的,但并非万无一失。 如果你从互联网上获取他人的工作,并想验证提交是否真的来自可信来源,Git 有几种使用 GPG 签名和验证工作的方法。
GPG 简介
首先,如果你想对任何东西进行签名,你需要配置 GPG 并安装你的个人密钥。
$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub 2048R/0A46826A 2014-06-04
uid Scott Chacon (Git signing key) <schacon@gmail.com>
sub 2048R/874529A9 2014-06-04如果你没有安装密钥,你可以使用 gpg --gen-key 生成一个。
$ gpg --gen-key一旦你有了用于签名的私钥,你可以配置 Git 使用它来对事物进行签名,方法是设置 user.signingkey 配置项。
$ git config --global user.signingkey 0A46826A!现在,如果你愿意,Git 默认会使用你的密钥来签署标签和提交。
签署标签
如果你已经设置了 GPG 私钥,现在你可以用它来签署新的标签。 你所要做的就是使用 -s 代替 -a
$ git tag -s v1.5 -m 'my signed 1.5 tag'
You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04如果你在那个标签上运行 git show,你可以看到附加到它的 GPG 签名
$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date: Sat May 3 20:29:41 2014 -0700
my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----
commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date: Mon Mar 17 21:52:11 2008 -0700
Change version number验证标签
要验证已签名的标签,可以使用 git tag -v <tag-name>。 此命令使用 GPG 验证签名。 你需要在密钥环中包含签名者的公钥才能使其正常工作
$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700
GIT 1.4.2.1
Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg: aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9A如果你没有签名者的公钥,你会得到类似这样的结果
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'签署提交
在较新版本的 Git (v1.7.9 及以上) 中,你现在还可以对单个提交进行签名。 如果你对直接对提交进行签名而不是只对标签进行签名感兴趣,你只需要在你的 git commit 命令中添加一个 -S 选项。
$ git commit -a -S -m 'Signed commit'
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
[master 5c3386c] Signed commit
4 files changed, 4 insertions(+), 24 deletions(-)
rewrite Rakefile (100%)
create mode 100644 lib/git.rb要查看和验证这些签名,git log 命令也有一个 --show-signature 选项。
$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun 4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date: Wed Jun 4 19:49:17 2014 -0700
Signed commit此外,你可以配置 git log 来检查它找到的任何签名,并使用 %G? 格式将其列在其输出中。
$ git log --pretty="format:%h %G? %aN %s"
5c3386c G Scott Chacon Signed commit
ca82a6d N Scott Chacon Change the version number
085bb3b N Scott Chacon Remove unnecessary test code
a11bef0 N Scott Chacon Initial commit在这里我们可以看到只有最新的提交是被签名和有效的,而之前的提交则不是。
在 Git 1.8.3 及更高版本中,可以告诉 git merge 和 git pull 在合并提交时,如果该提交没有携带可信任的 GPG 签名,则使用 --verify-signatures 命令来检查并拒绝合并。
如果你在合并分支时使用此选项,并且该分支包含未签名且无效的提交,则合并将无法进行。
$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.如果合并仅包含有效的已签名提交,则合并命令将显示它已检查的所有签名,然后继续进行合并。
$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
README | 2 ++
1 file changed, 2 insertions(+)你也可以将 -S 选项与 git merge 命令一起使用,以对生成的合并提交本身进行签名。 以下示例既验证了要合并的分支中的每个提交都已签名,并且还对生成的合并提交进行了签名。
$ git merge --verify-signatures -S signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
Merge made by the 'recursive' strategy.
README | 2 ++
1 file changed, 2 insertions(+)每个人都必须签名
对标签和提交进行签名很好,但是如果你决定在日常工作流程中使用此功能,则必须确保团队中的每个人都了解如何操作。 这可以通过要求与存储库一起工作的每个人运行 git config --local commit.gpgsign true 来实现,以默认情况下自动使他们在存储库中的所有提交都已签名。 否则,你最终会花费大量时间来帮助人们弄清楚如何使用已签名版本重写他们的提交。 在将此作为标准工作流程的一部分之前,请确保你了解 GPG 以及签名带来的好处。
