GitHub에서 커밋 서명

서명이란 무엇입니까?

모든 종류의 문서, 이메일, 메시지 또는 Git 또는 GitHub 리포지토리의 커밋에 대한 디지털 서명은 펜을 사용하여 물리적으로 서명하는 것과 매우 유사합니다. 아이템의 진위 여부를 확인하는 방법입니다. 간단히 말해서 항목이 실제로 유래했거나 출처가 있다고 생각하는 사람이나 저자로부터 유래했는지 확인하는 데 도움이 됩니다. 디지털 서명은 암호화 기술을 사용하여 공개/개인 키 쌍을 생성합니다. 문서 또는 데이터는 절대 공유되지 않는 개인 키를 사용하여 서명되며 모든 사람과 공유할 수 있는 공개 키를 사용하여 진위 여부를 확인할 수 있습니다.

GitHub에서 코드에 서명해야 하는 이유

대규모 오픈 소스 프로젝트에 코드를 기여할 때 때때로 리포지토리가 안전한지 확인하고 무단 변경을 방지하는 것이 중요합니다. 변경하고, 스테이징하고, 커밋을 추가하고, GitHub의 원격 리포지토리에 코드를 푸시하면 실제 코드와 함께 첨부되는 많은 메타데이터가 있습니다. 모든 커밋에는 변경할 수 있는 작성자의 이름과 이메일이 포함됩니다. GitHub 사용자 이름과 암호 또는 개인 액세스 토큰을 사용하여 인증하더라도 Git이 커밋하는 데 사용하는 이름과 이메일을 변경할 수 있습니다.

증거

Git 구성에 동일한 이메일을 추가하고 GitHub에서 확인된 이메일을 추가했습니다. 그러나 저는 실제 이메일 주소를 숨기고 대신 GitHub에서 제공하는 무응답 이메일 주소를 표시하기 위해 GitHub 설정에서 이메일 주소를 비공개로 유지하도록 선택했습니다.

이것은 git config의 이메일 주소를 사용하는 로컬 컴퓨터에서 커밋을 수행하는 경우 커밋이 어떻게 보이는지입니다.



GitHub.com 웹사이트에서 커밋하거나 변경하면 내 개인 이메일이 숨겨지고 무응답 이메일이 사용됩니다.



그래서 우리는 git을 사용하는 모든 사람을 사칭하는 것이 가능하다는 것을 거의 확립했습니다.

커밋에 서명하는 방법

Git 및 GitHub를 사용하면 GPG를 사용하여 코드에 서명할 수 있습니다. 첫 번째 단계는 GPG 키를 생성하거나 기존 키를 사용하는 것입니다. 설치하고 있는지 확인하는 과정은 운영 체제에 따라 다르므로 공식 GitHub documentation에서 확인할 수 있습니다.

생성한 키에 대해 Git에 알려야 합니다. 각 운영 체제에 대해 이를 구성하는 단계는 GitHub 문서의 this page에 언급되어 있습니다.

Git이 구성되고 GPG 키에 대해 알게 되면 -S 플래그를 사용하여 커밋에 서명할 수 있습니다.

git commit -S -m "init commit"

그런 다음 원격 GitHub 리포지토리로 푸시하기만 하면 됩니다.

git push

이제 동료와 저장소를 볼 수 있는 다른 사람은 실제로 커밋에 직접 서명하고 있음을 확신할 수 있습니다. 그리고 모든 커밋에 반짝이는 '인증' 배지가 있습니다!

댓글에서 자유롭게 토론하거나 이 게시물을 수정하세요. 감사.