Sobre a verificação de assinatura de commit
Você pode assinar commits e tags localmente para dar a outras pessoas confiança sobre a origem de uma alteração que você fez. Se uma confirmação ou marca tiver uma assinatura GPG, SSH ou S/MIME que seja criptograficamente verificável, GitHub marcará a confirmação ou marca "Verificado" ou "Parcialmente verificado".
Para a maioria dos usuários individuais, a melhor opção para assinar commits é GPG ou SSH. As assinaturas S/MIME geralmente são necessárias no contexto de uma organização maior. As assinaturas SSH são as mais simples de serem geradas. Você pode até fazer upload da sua chave de autenticação existente para GitHub para também usá-la como chave de assinatura. A geração de uma chave de assinatura GPG está mais envolvida do que a geração de uma chave SSH, mas a GPG conta com recursos que a SSH não tem. Uma chave GPG pode expirar ou ser revogada quando não for mais usada. A assinatura do GPG pode incluir informações sobre ele ter expirado ou ter sido revogado.
Os commits e as tags têm o status de verificação a seguir, dependendo se você habilitou o modo vigilante. Por padrão, o modo vigilante não está habilitado. Para obter informações sobre como habilitar o modo vigilante, confira Exibindo status de verificação para todos os seus commits.
A assinatura de commits é diferente da aprovação de um commit. Para obter mais informações sobre a aprovação de confirmações, consulte Como gerenciar a política de aprovação de confirmação para seu repositório.
Status padrão
| Estado | Descrição |
|---|---|
| Verificada | A commitação está assinada e a assinatura foi verificada com sucesso. |
| Não verificado | O commit foi assinado, mas não foi possível verificar a assinatura. |
| Sem status de verificação | O commit não foi assinado. |
Verificação da assinatura de commit persistente
Independentemente da opção de assinatura – GPG, SSH ou S/MIME –, uma vez que uma assinatura de commit é verificada, ela permanece verificada na rede de seu repositório. Confira Entender conexões entre repositórios.
Quando uma assinatura do commit é verificada ao ser enviada por push para GitHub, um registro de verificação é armazenado associado ao commit. Esse registro não pode ser editado e persistirá para que as assinaturas permaneçam verificadas ao longo do tempo, mesmo se as chaves de assinatura forem giradas, revogadas ou se os colaboradores deixarem a organização.
O registro de verificação inclui uma marcação de carimbo de data/hora de quando a verificação foi concluída. Esse registro persistente garante um estado verificado consistente, fornecendo um histórico estável de contribuições dentro do repositório. Você pode ver essa data e hora passando o mouse sobre o selo "Verificado" no GitHub ou acessando o commit por meio da API REST, que inclui um campo verified_at. Confira Pontos de extremidade da API REST para commits.
A verificação de assinatura de confirmação persistente aplica-se a novas confirmações enviadas por push para GitHub. Para quaisquer commits anteriores a este recurso, um registro persistente será criado na próxima vez que a assinatura do commit for verificada em GitHub, ajudando a garantir que os status de verificação permaneçam estáveis e confiáveis ao longo do histórico do repositório.
Os registros persistem mesmo após a revogação e expiração
A verificação persistente da assinatura do commit reflete o estado de verificação de um commit no momento em que a verificação é realizada. Isso significa que, se uma chave de assinatura for revogada, expirada ou alterada de outra forma, os commits verificados anteriormente manterão seu status verificado com base no registro criado durante a verificação inicial. GitHub não verificará novamente confirmações assinadas anteriormente ou ajustará retroativamente seu status de verificação em resposta a alterações no estado da chave. As organizações podem precisar gerenciar estados de chaves diretamente para se alinharem às suas políticas de segurança, especialmente se a rotação ou revogação de chaves frequentes for planejada.
O registro de verificação está limitado à sua rede de repositórios
O registro de verificação é persistente na rede do repositório, o que significa que, se o mesmo commit for enviado novamente para o mesmo repositório ou para qualquer uma de suas bifurcações, o registro de verificação existente será reutilizado. Isso permite que GitHub mantenha um status de verificação consistente em todos os repositórios relacionados, sem reverificar o commit cada vez que ele aparece dentro da rede. Essa persistência reforça uma visão unificada e confiável da autenticidade do commit em todas as ocorrências dentro da rede de repositórios.
Verificação de assinatura para rebase e mesclagem
Ao usar a opção Trocar base e Mesclar em uma solicitação de pull, é importante observar que os commits no branch principal são adicionados ao branch base sem verificação de assinatura de commit. Quando você usa essa opção, o GitHub cria um commit modificado usando os dados e o conteúdo do commit original. Isso significa que o GitHub não criou de fato esse commit e, portanto, não pode assiná-lo como um usuário genérico do sistema. O GitHub não tem acesso às chaves de assinatura privadas do responsável pelo commit, portanto, não pode assinar o commit em nome do usuário.
Uma solução alternativa é trocar a base e fazer a mesclagem localmente e depois enviar as alterações por push ao branch base da solicitação de pull.
Para saber mais, confira Sobre métodos de mesclagem no GitHub.
Status com modo vigilante habilitado
| Status | Descrição |
|---|---|
| Verificado | O commit foi assinado, a assinatura foi verificada com sucesso e o committer é o único autor que habilitou o modo vigilante. |
| Parcialmente verificado | O commit foi assinado e a assinatura foi verificada com sucesso, mas o commit tem um autor que: a) não é o committer e b) habilitou o modo vigilante. Neste caso, a assinatura de commit não garante o consentimento do autor. Portanto o commit é verificado apenas parcialmente. |
| Não verificado | Qualquer uma das seguintes opções é verdadeira: – O commit foi assinado, mas não foi possível verificar a assinatura. – O commit não foi assinado, e o usuário que o fez habilitou o modo vigilante. – O commit não foi assinado, e um autor habilitou o modo vigilante. |
Os administradores do repositório podem impor a assinatura de commit obrigatória em um branch para bloquear todos os commits que não estejam assinados e verificados. Para saber mais, confira Sobre branches protegidos.
Você pode conferir o status de verificação de seus commits ou tags assinados no GitHub e ver por que as assinaturas de commit podem não ter sido verificadas. Para saber mais, confira Confirmar o status de verificação da assinatura do commit e da tag.
GitHub usará automaticamente o GPG para assinar os commits que você fizer usando a interface web. Commits assinados por GitHub terão status verificado. Você pode verificar a assinatura localmente usando a chave pública disponível em https://github.com/web-flow.gpg.
Opcionalmente, você pode escolher assinar com GPG os commits que fizer em GitHub, GitHub Codespaces. Para obter mais informações sobre como habilitar a verificação de GPG para seus codespaces, consulte Gerenciando a verificação GPG para GitHub Codespaces.
Verificação da assinatura de commit GPG
É possível usar GPG para assinar commits com uma chave GPG que você mesmo gera.
GitHub usa bibliotecas OpenPGP para confirmar que seus commits e tags assinados localmente são criptograficamente verificáveis em relação a uma chave pública que você adicionou à sua conta no GitHub.com.
Para assinar confirmações usando GPG e verificar essas confirmações, siga estas GitHubetapas:
- Verificar se há chaves GPG existentes
- Gerar uma nova chave GPG
- Add uma chave GPG para sua conta GitHub
- Informar o Git sobre a chave de assinatura
- Assinar commits
- Assinar marcas
Verificação da assinatura de confirmação do GPG
É possível usar SSH para assinar commits com uma chave SSH que você mesmo gerou. Para saber mais, confira a documentação de referência do Git com relação a user.Signingkey. Se você já usa uma chave SSH para se autenticar com GitHub, também pode enviar essa mesma chave novamente para usá-la como chave de assinatura. Não há limite quanto ao número de chaves de assinatura que você pode adicionar à sua conta.
GitHub usa ssh_data, uma biblioteca Ruby de código aberto, para confirmar que seus commits e tags assinados localmente são criptograficamente verificáveis em relação a uma chave pública que você adicionou à sua conta em GitHub.com.
Observação
A verificação de assinatura SSH está disponível no Git 2.34 ou posterior. Para atualizar sua versão do Git, acesse o site do Git.
Para assinar confirmações usando o SSH e verificar essas confirmações, siga estas GitHubetapas:
- Verifique se há chaves SSH existentes
- Gere uma nova chave SSH
- Add uma chave de assinatura SSH para sua conta GitHub
- Informar o Git sobre a chave de assinatura
- Assinar commits
- Assinar marcas
Verificação da assinatura de commit S/MIME
Você pode usar S/MIME para assinar commits com uma chave X.509 emitida pela organização.
GitHub usa o pacote de certificados ca do Debian, o mesmo repositório de confiança usado pelos navegadores Mozilla, para confirmar que suas confirmações e marcas assinadas localmente são verificáveis criptograficamente em relação a uma chave pública em um certificado raiz confiável.
Observação
A verificação de assinatura S/MIME está disponível no Git 2.19 ou posterior. Para atualizar sua versão do Git, acesse o site do Git.
Para assinar confirmações usando S/MIME e ter essas confirmações verificadas GitHub, siga estas etapas:
Você não precisa carregar sua chave pública para GitHub.
Verificação de assinatura para bots
As organizações e GitHub Apps que exigem assinatura de confirmação podem usar bots para assinar confirmações. Se uma confirmação ou marca tiver uma assinatura de bot que seja criptograficamente verificável, GitHub marque a confirmação ou marca como verificada.
A verificação de assinatura para bots só funcionará se a solicitação for verificada e autenticada como GitHub App ou bot e não contiver informações personalizadas de autor, informações personalizadas de committer nem informações personalizadas de assinatura, como na Commits API.