Git コミット署名 (2023/10/18-)

@channel プロリク: Git コミットに署名を行うことを標準とする ## 背景 • Git にはコミットに署名する機能があり，そのコミッタが本人かを確認できる • そもそも Git はその分散性から Author / Committer / Date などなどを簡単に偽造できる ◦ cf. https://qiita.com/s6n/items/bb869f740a53a3bf169e • 無論リポジトリへのアクセス権限を持つことは求められるものの，その中で誰がコミットしたかを正確に判断することは署名がなければ不可能である • 人数がどんどん増えるこの組織において，コミッタがそのコミットに対する限定的な責任を持つ必要があり，それを検証できなければならない ## 目的 • Git の特性の意識づけ • 社内でのトラスト構造の確立 • コミッタ情報が偽造されることを防ぐ ## 提案 • ゆめみで行うすべてのコミット (社外のリポジトリに招待された場合や, GitHub 以外を用いる場合も含む) に対して署名を行うことを標準とする • 特に，可能であれば PGP による署名を行うことを推奨する ◦ PGP は Web of Trust という信頼モデルであるため中央集権的に証明を行うことはできない ◦ 理想論だが，入社時にれいっち :ray: にその人の主鍵に対して署名してほしい ◦ 共有のキーサーバを置くことは別途検討する • リポジトリ単位で可能と判断された場合は Repository Ruleset による署名の強制を行うことを推奨する • やむをえない理由で署名を行うことが困難なときは別途プロリクをもってこの標準を上書きできる • 様子を見た上で yumemi / yumemi-inc Org においては Repository Ruleset による署名の強制を行うことも検討する ## 期限 10/17

… more

5 replies

•

#github_support

背景

Git では分散性から Author / Committer 等の情報を偽造することから容易です

しかし人数が増え続けているこの組織において本当にコミットしたのが誰なのかを特定し，そのコミットについての限定的な責任を追うことは必要不可欠です

内容

ゆめみで行うすべてのコミット (社外のリポジトリに招待された場合や, GitHub 以外を用いる場合も含む) に対して署名を行うことを標準とします

特に，可能であれば PGP による署名を行うことを推奨します

例えば GitHub では他に X.509 や SSH 鍵を使った署名が可能です

https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits

リポジトリ単位で可能と判断された場合は Repository Ruleset による署名の強制を行うことを推奨します

https://docs.github.com/en/repositories/configuring-branches-and-merges-in-your-repository/managing-rulesets/available-rules-for-rulesets#require-signed-commits