Git
Chapters ▾ 2nd Edition

7.4 Git Araçları - Çalışmanızı İmzalama

Çalışmanızı İmzalama

Git şifresel olarak güvenlidir, ancak kusursuz değildir. İnternetten başkalarının çalışmasını alıyorsanız ve katkıların gerçekten güvenilir bir kaynaktan geldiğini doğrulamak istiyorsanız, Git’in GPG kullanarak çalışmaları imzalama ve doğrulama için birkaç yöntemi vardır.

GPG (GNU Privacy Guard) Tanıtımı

Öncelikle, herhangi bir şeyi imzalamak istiyorsanız, GPG’yi yapılandırmanız ve kişisel anahtarınızı kurmanız gerekir.

$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub   2048R/0A46826A 2014-06-04
uid                  Scott Chacon (Git signing key) <schacon@gmail.com>
sub   2048R/874529A9 2014-06-04

Eğer kurulu bir anahtarınız yoksa, gpg --gen-key komutuyla bunu oluşturabilirsiniz.

$ gpg --gen-key

Bir şeyleri imzalamak için bir özel anahtarınız olduğunda, bunu kullanması için Git’i user.signingkey yapılandırma ayarıyla yapılandırabilirsiniz.

$ git config --global user.signingkey 0A46826A

Artık Git, isterseniz etiketleri ve katkıları imzalamak için varsayılan olarak anahtarınızı kullanacaktır.

Etiketleri İmzalama

Eğer bir GPG özel anahtarınız kuruluysa, şimdi bunu yeni etiketleri imzalamak için kullanabilirsiniz. Yapmanız gereken tek şey -a yerine -s kullanmaktır:

$ git tag -s v1.5 -m 'my signed 1.5 tag'

You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04

Eğer bu etiket üzerinde git show komutunu çalıştırırsanız, GPG imzanızın ekli olduğunu görebilirsiniz:

$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date:   Sat May 3 20:29:41 2014 -0700

my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----

commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date:   Mon Mar 17 21:52:11 2008 -0700

    changed the version number

Etiketleri Doğrulama

İmzalı bir etiketi doğrulamak için, git tag -v <etiket-adı> komutunu kullanırsınız. Bu komut, imzayı doğrulamak için GPG kullanır. Bu işlemi düzgün çalıştırabilmek için imzalayanın genel anahtarını, anahtar halkanızda bulundurmanız gerekir:

$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700

GIT 1.4.2.1

Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg:                 aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7  4A7D C0C6 D9A4 F311 9B9A

Eğer imzalayanın genel anahtarına sahip değilseniz, bunun yerine şuna benzer bir çıktı alırsınız:

gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'

Katkıları İmzalama

Daha yeni Git sürümlerinde (v1.7.9 ve üzeri), artık bireysel katkıları da imzalayabilirsiniz. Sadece etiketleri değil, katkıları da doğrudan imzalamak istiyorsanız, yapmanız gereken tek şey git commit komutunuza bir -S eklemektir.

$ git commit -a -S -m 'signed commit'

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

[master 5c3386c] signed commit
 4 files changed, 4 insertions(+), 24 deletions(-)
 rewrite Rakefile (100%)
 create mode 100644 lib/git.rb

Bu imzaları görmek ve doğrulamak için git log komutunun --show-signature seçeneği de bulunmaktadır.

$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun  4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date:   Wed Jun 4 19:49:17 2014 -0700

    signed commit

Ayrıca, bulduğu tüm imzaları kontrol etmek ve çıktısında listelemek için`git log` komutunu %G? formatını kullanarak yapılandırabilirsiniz.

$ git log --pretty="format:%h %G? %aN  %s"

5c3386c G Scott Chacon  signed commit
ca82a6d N Scott Chacon  changed the version number
085bb3b N Scott Chacon  removed unnecessary test code
a11bef0 N Scott Chacon  first commit

Burada yalnızca en son katkının imzalandığını ve geçerli olduğunu; önceki katkıların imzalanmadığını görebiliyoruz.

Git 1.8.3 ve sonrasında, git merge ve git pull komutlarına --verify-signatures eklenerek, bir katkıyı birleştirirken incelemesi ve güvenilir bir GPG imzası taşımayanları reddetmesi emredilebilir.

Bir dalı birleştirirken bu seçeneği kullanırsanız ve geçerli bir şekilde imzalanmamış taahhütler içeriyorsa, birleştirme işlemi çalışmayacaktır.

$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.

Eğer birleştirme yalnızca geçerli imzalanmış katkılar içeriyorsa, birleştirme komutu kontrol ettiği tüm imzaları size gösterecek ve ardından birleştirmeye devam edecektir.

$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
 README | 2 ++
 1 file changed, 2 insertions(+)

git merge komutuyla sonucunda oluşan bir birleştirme katkısını imzalamak için -S seçeneğini kullanabilirsiniz. Aşağıdaki örnek, birleştirilecek dalın her katkısının imzalandığını doğrulamanın yanı sıra, sonuçta oluşan birleştirme katkısını da imzalar.

$ git merge --verify-signatures -S  signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

Merge made by the 'recursive' strategy.
 README | 2 ++
 1 file changed, 2 insertions(+)

Herkesin İmzalaması Gereklidir

Etiket ve katkıları imzalamak harika olsa da, bunu normal iş akışınızda kullanmaya karar verirseniz, ekibinizdeki herkesin bunu nasıl yapacağını anladığından emin olmalısınız. Aksi takdirde, insanların imzalı sürümlerle katkılarını nasıl yeniden yazacaklarını çözmelerine yardımcı olmak için çok zaman harcarsınız. Bu uygulamayı standart iş akışınızın bir parçası olarak benimsemeden önce GPG’yi ve imzanın faydalarını anladığınızdan emin olun.

scroll-to-top