签署提交与标签

签署提交与标签的基本概念

Git中的签署机制为代码库提供了额外的安全层。签署提交使用开发者的GPG密钥对提交内容进行加密签名，验证提交者的真实身份。标签签名则是对特定版本点的永久性标记进行认证，常用于标记发布版本。

// 示例：生成GPG密钥的命令行操作
gpg --full-generate-key

配置Git提交签名

在开始签署提交前，需要完成GPG工具配置。现代Git版本（2.0+）默认使用gpg2，需确保系统已安装GPG套件。配置分为三个主要步骤：

1. 将GPG密钥告知Git

git config --global user.signingkey <key-id>

2. 设置默认使用的GPG程序

git config --global gpg.program gpg2

3. 测试签名功能

echo "test" | gpg --clearsign

Windows系统需特别注意路径转义问题：

git config --global gpg.program "C:\Program Files (x86)\GnuPG\bin\gpg.exe"

创建签名提交

使用-S标志创建签名提交时，Git会执行以下操作：

1. 生成提交对象的SHA-1校验和
2. 使用GPG私钥对校验和进行签名
3. 将签名信息存入提交对象

git commit -S -m "Implement user authentication"

强制要求所有提交都必须签名时，可设置：

git config --global commit.gpgsign true

遇到"gpg failed to sign the data"错误时，通常需要导出GPG_TTY：

export GPG_TTY=$(tty)

验证提交签名

查看项目中的签名状态：

git log --show-signature

输出示例显示：

commit 5f1bc85 (HEAD -> main)
gpg: Signature made Wed May 15 14:23:42 2023 CST
gpg:                using RSA key 4AEE18F83AFDEB23
gpg: Good signature from "Li Hua <lihua@example.com>"

批量验证所有提交：

git verify-commit $(git rev-list --all)

签名标签的操作方法

创建带注释的签名标签：

git tag -s v1.4 -m "Release version 1.4"

轻量标签无法签名，必须使用-a或-s参数。验证标签签名：

git tag -v v1.4

推送标签到远程时需显式指定：

git push origin v1.4

签名过程中的常见问题

GPG代理问题通常表现为：

error: gpg failed to sign the data
fatal: failed to write commit object

解决方案包括：

1. 确保pinentry程序正确配置

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys <key-id>

2. 更新GPG缓存

gpgconf --kill gpg-agent
gpgconf --launch gpg-agent

密钥过期时需延长有效期：

gpg --edit-key <key-id>
> expire
> 2y
> save

自动化签名策略

在CI/CD管道中自动验证签名：

# GitHub Actions示例
jobs:
  verify:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - run: |
          git fetch --tags
          git verify-commit HEAD
          git verify-tag $(git describe)

客户端Hook强制签名检查：

# .git/hooks/pre-commit
if ! git verify-commit HEAD 2>/dev/null; then
  echo "拒绝未签名的提交" >&2
  exit 1
fi

多开发者环境下的签名管理

团队项目中建议维护公钥钥匙环：

# 导出公钥
gpg --export -a <key-id> > team_keys.asc

# 导入他人公钥
gpg --import team_keys.asc

# 设置信任级别
gpg --edit-key <teammate-key-id>
> trust
> 5
> quit

Git配置指定可信签名者：

git config --global gpg.allowedSignersFile ~/.git_allowed_signers

文件格式示例：

lihua@example.com namespaces="git" trustlevel=ultimate
wangwei@company.com namespaces="git" trustlevel=marginal

签名与法律效力

数字签名在某些司法管辖区具有法律效力。企业开发中建议：

1. 将GPG密钥与公司邮箱绑定
2. 定期轮换签名密钥（建议每年一次）
3. 在CONTRIBUTING.md中明确签名要求

撤销证书的发布方法：

gpg --gen-revoke <key-id> > revoke.asc
gpg --send-keys <key-id>

高级签名技巧

对合并提交进行签名：

git merge --verify-signatures feature-branch

签名补丁文件：

git format-patch -1 --stdout HEAD | gpg --clearsign > 0001-signed.patch

使用不同的密钥为不同项目签名：

# 项目特定配置
git config user.signingkey <project-specific-key>

签名与子模块

处理包含子模块的签名提交时需注意：

1. 子模块指针变更需要重新签名
2. 递归签名检查命令：

git submodule foreach 'git verify-commit HEAD'

更新子模块时验证签名：

git pull --recurse-submodules --verify-signatures

密钥托管方案

安全备份GPG密钥的方法：

# 导出私钥
gpg --export-secret-keys -a <key-id> > private.key

# 使用Paperkey备份
paperkey --secret-key private.key > paperkey.txt

云服务集成方案（如Keybase）：

keybase pgp pull-private
git config --global user.signingkey $(keybase pgp list-secret | grep -B 3 "primary" | head -n 1 | cut -d' ' -f5)