Чи є спосіб "автоматичного дизайну" здійснювати в Git ключем GPG?

Чи є простий спосіб змусити Git завжди підписувати кожен створений комірок або тег?

Я спробував це з чимось на кшталт:

псевдонім здійснювати = виконувати -S

Але це не зробило трюку.

Я не хочу встановлювати іншу програму, щоб це сталося. Це можна зробити з легкістю?

Лише побічне запитання, можливо, комітети не повинні підписуватися, а лише теги, які я ніколи не створюю, оскільки я надсилаю одиночні комісії для такого проекту, як Homebrew тощо.

Примітка: якщо ви не хочете додавати -Sвесь час, щоб переконатися, що ваші зобов’язання підписані, є пропозиція (відділення pu"на даний момент, грудень 2013 року, тому жодної гарантії, що вона зробить випуск git), додайте config, який подбає про цей варіант для вас.
Оновлення травня 2014 року: це в Git 2.0 (після повторної повторної роботи в цій серії патчів )

Дивіться команду 2af2ef3 від Ніколя Віг'є (boklm) :

Додати commit.gpgsignопцію для підписання всіх комісій

Якщо ви хочете, щоб GPG підписав усі свої зобов'язання, вам потрібно постійно додавати цю -Sопцію.
Опція commit.gpgsignconfig дозволяє підписувати всі зобов’язання автоматично.

commit.gpgsign

Логічне значення, щоб вказати, чи повинні усі комісії підписати GPG.
Використання цієї опції при виконанні таких операцій, як ребаза, може призвести до підписання великої кількості комісій. Може бути зручним користуватися агентом, щоб увімкнути кілька разів ваш пароль GPG.

Цей конфігурація, як правило, встановлюється за допомогою репо (не потрібно підписувати приватні експериментальні локальні репозиції):

cd /path/to/repo/needing/gpg/signature
git config commit.gpgsign true

Ви поєднали б це із user.signingKeyвикористовуваним як глобальним налаштуванням (унікальний ключ, який використовується для всіх репо, де ви хочете підписати комісію)

git config --global user.signingkey F2C7AB29

user.signingKeyбуло введено в git 1.5.0 (січень 2007) з комітом d67778e :

Не повинно бути вимоги, щоб я використовував ту саму форму свого імені в моєму сховищі git та в моєму gpg-ключі.
Далі я можу мати кілька ключів у своєму брелоку, і я можу захотіти використовувати той, який не співпадає з адресою, яку я використовую у повідомленнях про фіксацію.

Цей патч додає запис конфігурації " user.signingKey", який, якщо він присутній, буде переданий комутатору "-u" для gpg, що дозволить перекрити ключ підпису тегів.

Це застосовується за допомогою функції aba aba9119 (git 1.5.3.2) для того, щоб зафіксувати випадок, якщо користувач неправильно налаштував user.signingKeyу своїх .git/configабо просто не має секретних ключів на своєму ключі.

Примітки:

• За умовою, починаючи з git 2.4.0 березня 2015 року , це signingKeyне такsigningkey , хоча git configклавіші нечутливі до регістру. Це важливо лише , якщо ви робите git config --get-regexp, що це відчутно до регістру, в іншому випадку, це тільки читаність конвенції;
• Якщо ви хочете, щоб сервер git перевіряв підпис для кожного натискання , вам знадобиться принаймні git 2.2+ (жовт. 2014 р.) ( Фіксувати b945901 ), оскільки git push --signedне вдалося врахувати user.signingKeyзначення конфігурації;
• git 2.9 (червень 2016 р.) використовуватиме user.signingKeyдля примусового підписання помічених тегів , а також зобов’язань: commit 61c2fe0 .

git config --global user.signingKey 9E08524833CB3038FDE385C54C0AFCCFED5CDE14
git config --global commit.gpgSign true

Замініть 9E08524833CB3038FDE385C54C0AFCCFED5CDE14 своїм ідентифікатором ключа. Пам'ятайте: Ніколи не корисно використовувати короткий ідентифікатор .

ОНОВЛЕННЯ: Згідно з новим git edict , усі налаштування ключів повинні знаходитись у camelCase.

Edit: На Git версії 1.7.9, то це можна підписати Git яка вчиняє ( git commit -S). Трохи оновивши відповідь, щоб це відобразити.

Назва питання:

Чи є спосіб "автоматичного дизайну" здійснювати в Git ключем GPG?

Коротка відповідь: так, але не робіть цього.

Звернення до друкарської помилки у запитанні: git commit -sне підписує зобов’язання. Швидше зі man git-commitсторінки:

-s, --signoff
Додати підписаний рядок комітером у кінці повідомлення журналу фіксації.

Це дає вихід журналу, подібний до наступного:

± $ git log                                                                                 [0:43:31]
commit 155deeaef1896c63519320c7cbaf4691355143f5
Author: User Name 
Date:   Mon Apr 16 00:43:27 2012 +0200

    Added .gitignore

    Signed-off-by: User Name 

Зверніть увагу на біт "Підписано: ..."; що було породжене -sпрапором на git-commit.

Цитуючи повідомлення про випуск електронної пошти :

• "git počin" дізнався "-S" до GPG - підписує комітет; це може бути показано за допомогою параметра "--show-signature" для "git log".

Так що так, ви можете підписати коміти. Однак я особисто закликаю бути обережними з цим варіантом; автоматичне підписання зобов’язань поруч безглуздо, див. нижче:

Лише побічне запитання, можливо, коміти не повинні підписуватися, а лише теги, які я ніколи не створюю, коли я надсилаю окремі коміти.

Це правильно. Комітети не підписані; теги є. Причину цього можна знайти в цьому повідомленні Лінуса Торвальда , останній абзац якого говорить:

Підписання кожного зобов’язання абсолютно нерозумно. Це просто означає, що ви автоматизуєте це, і ви робите підпис менше. Це також не додає жодної реальної цінності, оскільки для того, як робота GIT-ланцюга DAG роботи SHA1, вам завжди потрібен лише один підпис для того, щоб усі комісії, доступні для цього, були ефективно покриті цим. Тому підписання кожного зобов’язання просто не вистачає сенсу.

Я б закликав переглядати пов’язане повідомлення, яке пояснює, чому підписання фільмів автоматично не є гарною ідеєю набагато кращим способом, ніж я міг.

Однак якщо ви хочете автоматично підписати тег , ви зможете це зробити, загорнувши git-tag -[s|u]в псевдонім; якщо ви збираєтесь це зробити, ви, ймовірно, хочете встановити свій ідентифікатор ключа ~/.gitconfigабо .git/configфайл, що відповідає проекту . Більше інформації про цей процес можна знайти в книзі спільноти git . Підписання тегів нескінченно корисніше, ніж підписання кожного зобов’язання, яке ви приймаєте.

Щоб зробити автоматичне підписання перед git версією 2.0, вам доведеться додати псевдонім git для фіксації.

# git config --global alias.commit commit -S
[alias]
    commit = commit -S

Вам потрібно уточнити, що якщо ви підписуєте комісію або тег, це не означає, що ви затверджуєте всю історію. У разі здійснення зобов’язань ви підписуєте лише зміни, що знаходяться під рукою, а у випадку тегів - добре. Вам потрібно визначити, що ви маєте на увазі під цим. Можливо, ви потягнули за собою зміну, яка стверджує, що вона є у вас, але не була (тому що хтось інший натиснув її на ваш пульт). Або це зміна, в якій ви не хочете бути, але ви лише підписали тег.

У типових проектах OSS це може бути менш поширеним, але в корпоративному сценарії, коли ви раз у раз торкаєтесь коду, і не читаєте всієї історії, це може стати непоміченим.

Підписання зобов’язань є проблемою, якщо вони отримають переоцінку або вишню для інших батьків. Але було б добре, якби змінена фіксація могла вказувати на "оригінальний" комітет, який насправді підтверджує.