Gestion de la vérification des signatures de commit
GitHub vérifie les signatures GPG, SSH ou S/MIME pour faire savoir aux autres utilisateurs que vos commits sont issus d’une source approuvée. GitHub signe automatiquement les commits que vous effectuez à l’aide de l’interface web GitHub.
À propos de la vérification des signatures de commit
À l’aide de GPG, de SSH ou de S/MIME, vous pouvez signer des étiquettes et des commits localement. Ces étiquettes ou validations (commits) sont marquées comme vérifiées sur GitHub afin que d’autres personnes puissent être certaines que les modifications proviennent d’une source approuvée.
Affichage des états de vérification pour tous vos commits
Vous pouvez activer le mode vigilant pour que la vérification des signatures de commit marque tous vos commits et toutes vos balises avec un état de vérification de signature.
Vérification des clés GPG existantes
Avant de générer une clé GPG, vous pouvez vérifier si vous n’en avez pas à disposition.
Génération d’une nouvelle clé GPG
Si vous n’avez pas de clé GPG à disposition, vous pouvez en générer une pour signer les commits et les étiquettes.
Ajout d’une clé GPG à votre compte GitHub
Pour configurer votre compte sur GitHub afin d’utiliser votre clé GPG nouvelle (ou existante), vous avez également besoin d’ajouter la clé de votre compte.
Informer Git de l’utilisation de votre clé de signature
Pour signer les commits localement, vous devez informer Git que vous voulez utiliser une clé GPG, SSH ou X.509 existante.
Association d’un e-mail à votre clé GPG
Votre clé GPG doit être associée à une adresse e-mail vérifiée par GitHub qui correspond à votre identité de commiteur.
Signature de commits
Vous pouvez signer les commits localement en utilisant GPG, SSH ou S/MIME.
Signature d’étiquettes
Vous pouvez signer les étiquettes localement en utilisant GPG, SSH ou S/MIME.