web-dev-qa-db-fra.com

À qui appartient la clé gpg 4AEE18F83AFDEB23 et comment a-t-elle signé un commit dans mon référentiel GitHub?

Ce commit dans mon repo GiHub est signé par une clé que je ne reconnais pas: https://github.com/jonathancross/jc-docs/pull/2/commits/124672699991af75dd2454831670758f08bc74ab

Qu'est-ce qui se passe ici?

27
Jonathan Cross

GitHub lui-même signe les commits effectués via l'éditeur en ligne en utilisant la clé 0x4AEE18F83AFDEB23 :

GitHub Screenshot: This commit was created on GitHub.com and signed with a verified signature using GitHub’s key.

De: https://help.github.com/articles/about-gpg/

GitHub signe automatiquement les validations que vous effectuez à l'aide de l'interface Web de GitHub. Ces validations auront un statut vérifié sur GitHub. Vous pouvez vérifier la signature localement à l'aide de la clé publique disponible sur https://github.com/web-flow.gpg

25
Jonathan Cross

Pour ajouter à @ Jonathan Cross 's answer ...

Règles de signature

Quand le signe GitHub sera-t-il validé

  • GitHub signera les validations effectuées à l'aide de l'interface utilisateur Web
  • GitHub signera les fusions standard effectuées à l'aide de l'interface utilisateur Web
  • GitHub signera les validations faites par squashing pour fusionner à l'aide de l'interface utilisateur Web

Quand GitHub ne signera-t-il pas les commits

  • GitHub ne signera pas les commits effectués en rebasant avec l'interface utilisateur Web

Pourquoi utilise-t-on une clé différente de la mienne

En effet, l'interface utilisateur Web n'a pas accès à la clé privée, elle doit donc utiliser sa propre clé.

5
jrtapsell