À qui appartient la clé gpg 4AEE18F83AFDEB23 et comment a-t-elle signé un commit dans mon référentiel GitHub?
Ce commit dans mon repo GiHub est signé par une clé que je ne reconnais pas: https://github.com/jonathancross/jc-docs/pull/2/commits/124672699991af75dd2454831670758f08bc74ab
Qu'est-ce qui se passe ici?
GitHub lui-même signe les commits effectués via l'éditeur en ligne en utilisant la clé 0x4AEE18F83AFDEB23 :
De: https://help.github.com/articles/about-gpg/
GitHub signe automatiquement les validations que vous effectuez à l'aide de l'interface Web de GitHub. Ces validations auront un statut vérifié sur GitHub. Vous pouvez vérifier la signature localement à l'aide de la clé publique disponible sur https://github.com/web-flow.gpg
Pour ajouter à @ Jonathan Cross 's answer ...
Règles de signature
Quand le signe GitHub sera-t-il validé
- GitHub signera les validations effectuées à l'aide de l'interface utilisateur Web
- GitHub signera les fusions standard effectuées à l'aide de l'interface utilisateur Web
- GitHub signera les validations faites par squashing pour fusionner à l'aide de l'interface utilisateur Web
Quand GitHub ne signera-t-il pas les commits
- GitHub ne signera pas les commits effectués en rebasant avec l'interface utilisateur Web
Pourquoi utilise-t-on une clé différente de la mienne
En effet, l'interface utilisateur Web n'a pas accès à la clé privée, elle doit donc utiliser sa propre clé.