## 7.4 签署工作
Git 虽然是密码级安全的,但它不是万无一失的。 如果你从因特网上的其他人那里拿取工作,并且想要验证提交是不是真正地来自于可信来源,Git 提供了几种通过 GPG 来签署和验证工作的方式。
### 7.4 1 GPG 介绍 {#_gpg_介绍}
在开始签名之前,需要先配置 GPG 并安装个人密钥。
**查看密钥**
```
$ gpg --list-keys
```
**生成密钥**
```
$ gpg --gen-key
```
### 7.4.2 签署提交
通过设置 Git 的`user.signingkey`选项来签署。
```
git config --global user.signingkey 0A46826A
```
如果已经设置好一个 GPG 私钥,可以使用它来签署新的标签。 所有需要做的只是使用`-s`代替`-a`即可:
```
$ git tag -s [tag] -m '[comment]'
```
如果在那个标签上运行`git show`,会看到 GPG 签名附属在后面:
```
$ git show [tag]
```
**验证标签**
要验证一个签署的标签,可以运行`git tag -v [tag-name]`。 这个命令使用 GPG 来验证签名。 为了验证能正常工作,签署者的公钥需要在你的钥匙链中。
```
$ git tag -v [tag]
```
**签署提交**
增加一个`-S`到`git commit`命令。
```
$ git commit -a -S -m '[comment]'
```
`git log`也有一个`--show-signature`选项来查看及验证这些签名。
```
$ git log --show-signature
```
在 Git 1.8.3 及以后的版本中,`git merge` 与 `git pull` 可以使用`--verify-signatures`选项来检查并拒绝没有携带可信 GPG 签名的提交。
```
$ git merge --verify-signatures [branch]
```
也可以给`git merge`命令附加`-S`选项来签署自己生成的合并提交。
```
$ git merge --verify-signatures -S [branch]
```
- 介绍
- 第一章 起步
- 1.1 关于版本控制
- 1.2 Git 简史
- 1.3 Git 基础
- 1.4 命令行
- 1.5 安装 Git
- 1.6 初次运行 Git 前的配置
- 1.7 获得帮助
- 第二章 基础
- 2.1 获取仓库
- 2.2 记录每次更新到仓库
- 2.3 查看提交历史
- 2.4 撤销操作
- 2.5 远程仓库的使用
- 2.6 打标签
- 2.7 Git 别名
- 第三章 分支
- 3.1 分支简介
- 3.2 分支的新建与合并
- 3.3 分支管理
- 3.4 分支开发工作流
- 3.5 远程分支
- 3.6 变基
- 第四章 服务器上的 Git
- 4.1 协议
- 4.2 在服务器上搭建 Git
- 4.3 生成 SSH 公钥
- 4.4 配置服务器
- 4.5 Git 守护进程
- 4.6 Smart HTTP
- 4.7 GitWeb
- 4.8 GitLab
- 4.9 第三方托管的选择
- 第五章 分布式 Git
- 5.1 分布式工作流程
- 5.2 向一个项目贡献
- 5.3 维护项目
- 第六章 GitHub
- 6.1 账户的创建和配置
- 6.2 对项目做出贡献
- 6.3 维护项目
- 6.4 管理组织
- 6.5 脚本 GitHub
- 第七章 Git 工具
- 7.1 选择修订版本
- 7.2 交互式暂存
- 7.3 储藏与清理
- 7.4 签署工作
- 7.5 搜索
- 7.6 重写历史
- 7.7 重置揭密
- 7.8 高级合并
- 7.9 Rerere
- 7.10 使用Git调试
- 7.11 子模板
- 7.12 打包
- 7.13 替换
- 7.14 凭证存储
- 第八章 自定义 Git
- 8.1 配置 Git
- 8.2 Git 属性
- 8.3 Git 钩子
- 8.4 使用强制策略的一个例子
- 第九章 Git 与其他系统
- 9.1 作为客户端的 Git
- 9.2 迁移到 Git
- 第十章 Git 内部原理
- 10.1 底层命令和高层命令
- 10.2 Git 对象
- 10.3 Git 引用
- 10.4 包文件
- 10.5 引用规格
- 10.6 传输协议
- 10.7 维护与数据恢复
- 10.8 环境变量