• 7.4 Git 工具 - 签署工作
    • 签署工作
      • GPG 介绍
      • 签署标签
      • 验证标签
      • 签署提交
      • 每个人必须签署

    7.4 Git 工具 - 签署工作

    签署工作

    Git 虽然是密码级安全的,但它不是万无一失的。如果你从因特网上的其他人那里拿取工作,并且想要验证提交是不是真正地来自于可信来源,Git 提供了几种通过 GPG 来签署和验证工作的方式。

    GPG 介绍

    首先,在开始签名之前你需要先配置 GPG 并安装个人密钥。

    1. $ gpg --list-keys
    2. /Users/schacon/.gnupg/pubring.gpg
    3. ---------------------------------
    4. pub 2048R/0A46826A 2014-06-04
    5. uid Scott Chacon (Git signing key) <schacon@gmail.com>
    6. sub 2048R/874529A9 2014-06-04

    如果你还没有安装一个密钥,可以使用 gpg —gen-key 生成一个。

    1. gpg --gen-key

    一旦你有一个可以签署的私钥,可以通过设置 Git 的 user.signingkey 选项来签署。

    1. git config --global user.signingkey 0A46826A

    现在 Git 默认使用你的密钥来签署标签与提交。

    签署标签

    如果已经设置好一个 GPG 私钥,可以使用它来签署新的标签。所有需要做的只是使用 -s 代替 -a 即可:

    1. $ git tag -s v1.5 -m 'my signed 1.5 tag'
    2. You need a passphrase to unlock the secret key for
    3. user: "Ben Straub <ben@straub.cc>"
    4. 2048-bit RSA key, ID 800430EB, created 2014-05-04

    如果在那个标签上运行 git show,会看到你的 GPG 签名附属在后面:

    1. $ git show v1.5
    2. tag v1.5
    3. Tagger: Ben Straub <ben@straub.cc>
    4. Date: Sat May 3 20:29:41 2014 -0700
    5. my signed 1.5 tag
    6. -----BEGIN PGP SIGNATURE-----
    7. Version: GnuPG v1
    8. iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
    9. LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
    10. hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
    11. ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
    12. 8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
    13. RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
    14. =EFTF
    15. -----END PGP SIGNATURE-----
    16. commit ca82a6dff817ec66f44342007202690a93763949
    17. Author: Scott Chacon <schacon@gee-mail.com>
    18. Date: Mon Mar 17 21:52:11 2008 -0700
    19. changed the version number

    验证标签

    要验证一个签署的标签,可以运行 git tag -v [tag-name]。这个命令使用 GPG 来验证签名。为了验证能正常工作,签署者的公钥需要在你的钥匙链中。

    1. $ git tag -v v1.4.2.1
    2. object 883653babd8ee7ea23e6a5c392bb739348b1eb61
    3. type commit
    4. tag v1.4.2.1
    5. tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700
    6. GIT 1.4.2.1
    7. Minor fixes since 1.4.2, including git-mv and git-http with alternates.
    8. gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
    9. gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
    10. gpg: aka "[jpeg image of size 1513]"
    11. Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9A

    如果没有签署者的公钥,那么你将会得到类似下面的东西:

    1. gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
    2. gpg: Can't check signature: public key not found
    3. error: could not verify the tag 'v1.4.2.1'

    签署提交

    在最新版本的 Git 中(v1.7.9 及以上),也可以签署个人提交。如果相对于标签而言你对直接签署到提交更感兴趣的话,所有要做的只是增加一个 -Sgit commit 命令。

    1. $ git commit -a -S -m 'signed commit'
    2. You need a passphrase to unlock the secret key for
    3. user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
    4. 2048-bit RSA key, ID 0A46826A, created 2014-06-04
    5. [master 5c3386c] signed commit
    6. 4 files changed, 4 insertions(+), 24 deletions(-)
    7. rewrite Rakefile (100%)
    8. create mode 100644 lib/git.rb

    git log 也有一个 —show-signature 选项来查看及验证这些签名。

    1. $ git log --show-signature -1
    2. commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
    3. gpg: Signature made Wed Jun 4 19:49:17 2014 PDT using RSA key ID 0A46826A
    4. gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
    5. Author: Scott Chacon <schacon@gmail.com>
    6. Date: Wed Jun 4 19:49:17 2014 -0700
    7. signed commit

    另外,也可以配置 git log 来验证任何找到的签名并将它们以 %G? 格式列在输出中。

    1. $ git log --pretty="format:%h %G? %aN %s"
    2. 5c3386c G Scott Chacon signed commit
    3. ca82a6d N Scott Chacon changed the version number
    4. 085bb3b N Scott Chacon removed unnecessary test code
    5. a11bef0 N Scott Chacon first commit

    这里我们可以看到只有最后一次提交是签署并有效的,而之前的提交都不是。

    在 Git 1.8.3 及以后的版本中,“git merge” 与“git pull” 可以使用 —verify-signatures 选项来检查并拒绝没有携带可信 GPG 签名的提交。

    如果使用这个选项来合并一个包含未签名或有效的提交的分支时,合并不会生效。

    1. $ git merge --verify-signatures non-verify
    2. fatal: Commit ab06180 does not have a GPG signature.

    如果合并包含的只有有效的签名的提交,合并命令会提示所有的签名它已经检查过了然后会继续向前。

    1. $ git merge --verify-signatures signed-branch
    2. Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
    3. Updating 5c3386c..13ad65e
    4. Fast-forward
    5. README | 2 ++
    6. 1 file changed, 2 insertions(+)

    也可以给 git merge 命令附加 -S 选项来签署自己生成的合并提交。下面的例子演示了验证将要合并的分支的每一个提交都是签名的并且签署最后生成的合并提交。

    1. $ git merge --verify-signatures -S signed-branch
    2. Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
    3. You need a passphrase to unlock the secret key for
    4. user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
    5. 2048-bit RSA key, ID 0A46826A, created 2014-06-04
    6. Merge made by the 'recursive' strategy.
    7. README | 2 ++
    8. 1 file changed, 2 insertions(+)

    每个人必须签署

    签署标签与提交很棒,但是如果决定在正常的工作流程中使用它,你必须确保团队中的每一个人都理解如何这样做。如果没有,你将会花费大量时间帮助其他人找出并用签名的版本重写提交。在采用签署成为标准工作流程的一部分前,确保你完全理解 GPG 及签署带来的好处。

    原文: https://git-scm.com/book/zh/v2/Git-%E5%B7%A5%E5%85%B7-%E7%AD%BE%E7%BD%B2%E5%B7%A5%E4%BD%9C