章节 ▾ 第二版

7.4 Git 工具 - 签署你的工作

签署你的工作

Git 在加密方面是安全的,但并非万无一失。如果你从互联网上获取他人的工作,并希望验证提交是否确实来自受信任的源,Git 提供了一些使用 GPG 签署和验证工作的方法。

GPG 简介

首先,如果你想签署任何内容,你需要配置 GPG 并安装你的个人密钥。

$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub   2048R/0A46826A 2014-06-04
uid                  Scott Chacon (Git signing key) <schacon@gmail.com>
sub   2048R/874529A9 2014-06-04

如果你没有安装密钥,可以使用 gpg --gen-key 生成一个。

$ gpg --gen-key

一旦你有了用于签名的私钥,你可以通过设置 user.signingkey 配置来让 Git 使用它进行签名。

$ git config --global user.signingkey 0A46826A!

现在,如果你愿意,Git 会默认使用你的密钥来签署标签和提交。

签署标签

如果你已经设置了 GPG 私钥,现在你可以用它来签署新标签。你所要做的就是使用 -s 而不是 -a

$ git tag -s v1.5 -m 'my signed 1.5 tag'

You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04

如果你对该标签运行 git show 命令,你就可以看到你的 GPG 签名附加在上面

$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date:   Sat May 3 20:29:41 2014 -0700

my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----

commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date:   Mon Mar 17 21:52:11 2008 -0700

    Change version number

验证标签

要验证已签署的标签,请使用 git tag -v <tag-name>。此命令使用 GPG 来验证签名。为此,你的密钥环中需要有签名者的公钥,才能正常工作

$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700

GIT 1.4.2.1

Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg:                 aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7  4A7D C0C6 D9A4 F311 9B9A

如果你没有签名者的公钥,你会看到类似这样的输出

gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'

签署提交

在较新版本的 Git 中(v1.7.9 及更高版本),你现在也可以签署单个提交。如果你有兴趣直接签署提交而不是仅签署标签,你只需在 git commit 命令中添加 -S 即可。

$ git commit -a -S -m 'Signed commit'

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

[master 5c3386c] Signed commit
 4 files changed, 4 insertions(+), 24 deletions(-)
 rewrite Rakefile (100%)
 create mode 100644 lib/git.rb

要查看和验证这些签名,git log 还有一个 --show-signature 选项。

$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun  4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date:   Wed Jun 4 19:49:17 2014 -0700

    Signed commit

此外,你可以配置 git log 以检查它找到的任何签名,并使用 %G? 格式将其列在输出中。

$ git log --pretty="format:%h %G? %aN  %s"

5c3386c G Scott Chacon  Signed commit
ca82a6d N Scott Chacon  Change the version number
085bb3b N Scott Chacon  Remove unnecessary test code
a11bef0 N Scott Chacon  Initial commit

在这里我们可以看到,只有最新的提交是已签署且有效的,而之前的提交则不是。

在 Git 1.8.3 及更高版本中,可以使用 --verify-signatures 命令,指示 git mergegit pull 在合并不带受信任 GPG 签名的提交时进行检查并拒绝。

如果你在合并分支时使用此选项,并且其中包含未签名且无效的提交,则合并将不会成功。

$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.

如果合并只包含有效的已签名提交,合并命令将显示所有已检查的签名,然后继续进行合并。

$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
 README | 2 ++
 1 file changed, 2 insertions(+)

你还可以将 -S 选项与 git merge 命令一起使用,以签署生成的合并提交本身。以下示例既验证了要合并的分支中的每个提交都已签名,还签署了生成的合并提交。

$ git merge --verify-signatures -S  signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

Merge made by the 'recursive' strategy.
 README | 2 ++
 1 file changed, 2 insertions(+)

所有人必须签署

签署标签和提交非常棒,但如果你决定在日常工作流程中使用它,你必须确保团队中的每个人都明白如何操作。这可以通过要求所有使用该仓库的人运行 git config --local commit.gpgsign true 来实现,以便默认自动签署他们在该仓库中的所有提交。如果你不这样做,你最终会花费大量时间帮助人们弄清楚如何用已签署的版本重写他们的提交。在将此作为你的标准工作流程一部分之前,请确保你了解 GPG 以及签署的好处。

scroll-to-top