Gibt es eine Möglichkeit, Commits in Git mit einem GPG-Schlüssel automatisch zu signieren?

Gibt es eine einfache Möglichkeit, Git dazu zu bringen, jedes erstellte Commit oder Tag immer zu signieren?

Ich habe es mit so etwas versucht:

Alias ​​Commit = Commit -S

Aber das hat den Trick nicht getan.

Ich möchte kein anderes Programm installieren, um dies zu ermöglichen. Ist es mit Leichtigkeit machbar?

Nur eine Nebenfrage, vielleicht sollten Commits nicht signiert werden, nur Tags, die ich nie erstelle, da ich einzelne Commits für ein Projekt wie Homebrew usw. einreiche.

Hinweis: Wenn Sie nicht die -Sganze Zeit hinzufügen möchten, um sicherzustellen, dass Ihre Commits signiert sind, gibt es einen Vorschlag (Zweig ' pu' für den Moment , Dezember 2013, daher keine Garantie, dass es zu einer Git-Version kommt), einen hinzuzufügen Konfiguration, die diese Option für Sie erledigt.
Update Mai 2014: Es ist in Git 2.0 (nachdem es in dieser Patch-Serie erneut gesendet wurde )

Siehe Commit 2af2ef3 von Nicolas Vigier (boklm) :

Fügen Sie die commit.gpgsignOption zum Signieren aller Commits hinzu

Wenn Sie alle Ihre Commits von GPG signieren möchten, müssen Sie die -SOption jederzeit hinzufügen .
Mit der commit.gpgsignKonfigurationsoption können alle Commits automatisch signiert werden.

commit.gpgsign

Ein Boolescher Wert, der angibt, ob alle Commits mit GPG signiert werden sollen.
Die Verwendung dieser Option bei Vorgängen wie Rebase kann dazu führen, dass eine große Anzahl von Commits signiert wird. Es kann zweckmäßig sein, einen Agenten zu verwenden, um zu vermeiden, dass Sie Ihre GPG-Passphrase mehrmals eingeben.

Diese Konfiguration wird normalerweise pro Repo festgelegt (Sie müssen Ihre privaten experimentellen lokalen Repos nicht signieren):

cd /path/to/repo/needing/gpg/signature
git config commit.gpgsign true

Sie würden dies mit einer user.signingKeyals globale Einstellung verwendeten kombinieren (eindeutiger Schlüssel, der für alle Repos verwendet wird, für die Sie ein Commit signieren möchten).

git config --global user.signingkey F2C7AB29

user.signingKeywurde in git 1.5.0 (Jan. 2007) mit commit d67778e eingeführt :

Es sollte nicht erforderlich sein, dass ich in meinem Git-Repository und meinem GPG-Schlüssel dieselbe Form meines Namens verwende.
Außerdem habe ich möglicherweise mehrere Schlüssel in meinem Schlüsselbund und möchte möglicherweise einen verwenden, der nicht mit der Adresse übereinstimmt, die ich in Festschreibungsnachrichten verwende.

Dieser Patch fügt einen Konfigurationseintrag " user.signingKey" hinzu, der, falls vorhanden, an den Schalter "-u" für gpg übergeben wird, sodass der Tag-Signaturschlüssel überschrieben werden kann.

Dies wird mit erzwungen begehen aba9119 (git 1.5.3.2), um den Fall zu fangen , wo Wenn der Benutzer falsch konfiguriert hat user.signingKeyin ihrem .git/configoder hat keinen geheimen Schlüssel auf ihrem Schlüsselbund.

Anmerkungen:

• Per Konvention seit git 2.4.0 März 2015 , ist es signingKey, nichtsigningkey , auch wenn die git configTasten Groß- und Kleinschreibung. Das wäre egal , nur wenn Sie das tun git config --get-regexp, was ist Groß- und Kleinschreibung, sonst ist es nur eine Lesbarkeit Konvention;
• Wenn der Git-Server die Signatur für jeden Push überprüfen soll , benötigen Sie mindestens Git 2.2+ (Okt. 2014) ( Commit b945901 ), da git push --signedder user.signingKeyKonfigurationswert nicht berücksichtigt wurde .
• Mit git 2.9 (Juni 2016) wird das user.signingKeySignieren von mit Anmerkungen versehenen Tags sowie von Commits erzwungen : Commit 61c2fe0 .

git config --global user.signingKey 9E08524833CB3038FDE385C54C0AFCCFED5CDE14
git config --global commit.gpgSign true

Ersetzen Sie 9E08524833CB3038FDE385C54C0AFCCFED5CDE14 durch Ihre Schlüssel-ID. Denken Sie daran: Es ist niemals eine gute Idee, die kurze ID zu verwenden .

UPDATE: Pro ein neues git Edikt , alle Konfigurationsschlüssel in camelcase sein sollte.

Edit: Wie von Git Version 1.7.9, es ist möglich , Git Commits zu unterzeichnen ( git commit -S). Aktualisieren Sie die Antwort leicht, um dies widerzuspiegeln.

Der Fragentitel lautet:

Gibt es eine Möglichkeit, Commits in Git mit einem GPG-Schlüssel automatisch zu signieren?

Kurze Antwort: Ja, aber tu es nicht.

Adressierung des Tippfehlers in der Frage: git commit -sUnterzeichnet das Commit nicht. Eher von der man git-commitSeite:

-s, --signoff
Add Sign-off-by-Zeile vom Committer am Ende der Commit-Protokollnachricht.

Dies ergibt eine Protokollausgabe ähnlich der folgenden:

± $ git log                                                                                 [0:43:31]
commit 155deeaef1896c63519320c7cbaf4691355143f5
Author: User Name 
Date:   Mon Apr 16 00:43:27 2012 +0200

    Added .gitignore

    Signed-off-by: User Name 

Beachten Sie das Bit "Abgemeldet von: ...". das wurde durch die -sFlagge auf der generiert git-commit.

Zitieren der Release-Ankündigungs-E-Mail :

• "git commit" lernte "-S", um das Commit zu GPG-signieren; Dies kann mit der Option "--show-Signatur" für "Git-Protokoll" angezeigt werden.

Also ja, Sie können Commits unterschreiben. Ich persönlich rufe jedoch bei dieser Option zur Vorsicht auf. Das automatische Signieren von Commits ist nahezu sinnlos, siehe unten:

Nur eine Nebenfrage, vielleicht sollten Commits nicht signiert werden, nur Tags, die ich nie erstelle, wenn ich einzelne Commits einreiche.

Das ist richtig. Commits werden nicht unterzeichnet. Tags sind. Der Grund dafür ist in dieser Nachricht von Linus Torvalds zu finden , deren letzter Absatz besagt:

Jedes Commit zu unterschreiben ist total dumm. Es bedeutet nur, dass Sie es automatisieren und die Signatur weniger wert ist. Es bringt auch keinen wirklichen Mehrwert, da die Art und Weise, wie die Git-DAG-Kette von SHA1 funktioniert, Sie immer nur eine Signatur benötigen , damit alle von dieser erreichbaren Commits effektiv von dieser abgedeckt werden. Das Unterschreiben jedes Commits geht also einfach daneben.

Ich würde dazu ermutigen, die verknüpfte Nachricht zu durchsuchen, um zu verdeutlichen, warum das automatische Signieren von Commits keine weitaus bessere Idee ist als ich.

Allerdings , wenn Sie möchten , um automatisch ein Zeichen Tag , würden Sie in der Lage sein , das zu tun , indem die Verpackung git-tag -[s|u]in einem Alias; Wenn Sie dies tun, möchten Sie wahrscheinlich Ihre Schlüssel-ID ~/.gitconfigoder die projektspezifische .git/configDatei einrichten. Weitere Informationen zu diesem Prozess finden Sie im Git-Community-Buch . Das Signieren von Tags ist unendlich nützlicher als das Signieren jedes von Ihnen vorgenommenen Commits.

Damit die automatische Signatur vor Git Version 2.0 funktioniert, müssen Sie einen Git-Alias ​​für das Commit hinzufügen.

# git config --global alias.commit commit -S
[alias]
    commit = commit -S

Sie müssen klarstellen, dass Sie beim Unterzeichnen eines Commits oder Tags nicht bedeuten, dass Sie den gesamten Verlauf genehmigen. Im Falle von Commits unterschreiben Sie nur die vorliegende Änderung, und im Falle eines Tags müssen Sie definieren, was Sie damit meinen. Möglicherweise haben Sie eine Änderung vorgenommen, die behauptet, sie stamme von Ihnen, war es aber nicht (weil jemand anderes sie auf Ihre Fernbedienung übertragen hat). Oder es ist eine Änderung, an der Sie nicht teilnehmen möchten, aber Sie haben gerade das Tag signiert.

In typischen OSS-Projekten ist dies möglicherweise weniger häufig, aber in einem Unternehmensszenario, in dem Sie nur ab und zu Code berühren und nicht den gesamten Verlauf lesen, wird dies möglicherweise unbemerkt.

Das Unterzeichnen von Commits ist ein Problem, wenn sie an andere Eltern weitergegeben werden. Es wäre jedoch gut, wenn ein geändertes Commit auf das "ursprüngliche" Commit verweisen könnte, das tatsächlich überprüft wird.