Vérifier les commit GIT avec GPG

Note
This article was last updated on 2023-03-02, the content may be out of date.

Juste pour un pense bête, voici comment paramétrer GIT et GITHUB/GITLAB pour signer les commits avec GPG.

Exécutez la commande suivante :

1
2
gpg --full-generate-key
Sélectionnez une clé RSA (question 1) de 4096 bits (question 2).

Une fois cette commande effectuée, vous pouvez récupérer votre clé GPG avec cette commande:

1
2
3
4
5
6
7
gpg --list-secret-keys --keyid-format LONG alexandre@....
/home/alexandre/.gnupg/pubring.kbx
----------------------------------
sec rsa4096/XXXXXXXXXX 2019-08-09 [SC]
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
uid [ ultime ] Alexandre Touret <mon.mail.github.ou.gitlab@monprovider.fr>
ssb rsa4096/XXXXXXXXXX 2019-08-09 [E]

Ensuite, il faut exécuter cette commande

1
gpg --armor --export XXXXXXXXXX

Indiquez la clé GPG à GIT

1
git config --local user.signingkey XXXXXXXXXXXX

Et indiquez que vous voulez signer tous vos commits

1
git config --local commit.gpgsign true

Si vous ne faites pas cette dernière commande, vous devrez ajouter l’option -S à chaque exécution de la commande git commit.

Exemple:

1
git -a -S -m "Ajout javadoc"

Sur Github ( il y a la même chose sur gitlab), vous pouvez dans vos paramètres ajouter cette clé . De cette manière, vos prochains commits envoyés seront vérifiés.

En espérant que ça serve à d’autres 🙂