Commits verificados no GitHub
Um commit é uma alteração de código feita em um repositório. Quando um desenvolvedor faz um commit, é importante garantir que as alterações de código sejam feitas por uma pessoa autorizada e que as alterações não tenham sido adulteradas. É aqui que entram os commits verificados do GitHub. Isso é útil para evitar a representação e para garantir que o código que você está baixando seja o código que foi carregado pelo desenvolvedor.
Os commits verificados do GitHub usam assinaturas digitais para garantir a autenticidade das alterações de código. Quando um desenvolvedor faz um commit, ele pode assinar ao commit usando sua chave GPG (GNU Privacy Guard). Essa chave é um identificador exclusivo que é usado para verificar a autenticidade das alterações de código. Depois que o commit for assinado, o GitHub exibirá um selo verde "verificado" ao lado do commit. Assim:
Para usar aos commits verificados do GitHub, os desenvolvedores devem primeiro gerar uma chave GPG. Essa chave é um tipo de chave de criptografia usada para assinar e verificar assinaturas digitais.
Depois que a chave é gerada, ela pode ser carregada no GitHub e usada para assinar commits.
Para gerar uma chave GPG, você precisará instalar o GPG no seu computador. Existem diferentes maneiras de gerar a chave, no meu caso eu fiz usando Gpg4win mas você também pode fazê-lo usando a linha de comando com o seguinte comando:
gpg --full-generate-key
No meu caso eu fiz isso usando Kleopatra, que é um gerenciador de certificados e GUI para GnuPG:
Depois de ter a chave, você pode exportá-la e enviá-la para o GitHub. Nas configurações, vá para as teclas SSH e GPG e clique em Nova chave GPG:
Em seguida, você precisa configurar seu cliente git para usar a chave. No meu caso, foi assim que eu fiz:
git config --global user.signingkey <your key id>
git config --global commit.gpgsign true
Agora você pode fazer um commit e assiná-la usando o seguinte comando ou o Área de trabalho do GitHub cliente.
git commit -S -m "Your commit message"
E é isso, agora o GitHub mostrará o selo verificado ao lado do seu commit.