Acerca de la verificación de firma de confirmación

Puedes firmar etiquetas y confirmaciones localmente utilizando GPG o S/MIME. Estas etiquetas o confirmaciones se marcan como verificadas en GitHub para que otras personas tengan la confianza de que los cambios vienen de una fuente confiable.

Acerca de la verificación de firma de confirmación

Puedes firmar confirmaciones y etiquetas localmente para darles a otras personas la confianza necesaria sobre el origen de un cambio que hayas realizado. Si una confirmación o etiqueta tiene una firma GPG o S/MIME que se pueda verificar criptográficamente, GitHub la marcará como "Verificada" o "Verificada parcialmente".

Confirmación verificada

Las confirmaciones y etiquetas tienen los siguientes estados de verificación dependiendo de si las habilitaste en modo vigilante. Predeterminadamente, el modo vigilante no está habilitado. Para obtener más información sobre cómo habilitar el modo vigilante, consulta la sección "Mostrar los estados de verificación para todas tus confirmaciones".

Nota: El modo vigilante se encuentra actualmente en beta y está sujeto a cambios.

Estados predeterminados

EstadoDescripción
VerificadoLa confirmación se firmó y la firma se verificó con éxito.
Sin verificarLa confirmación se firmó pero la firma no pudo verificarse.
Sin estado de verificaciónLa confirmación no se firmó.

Estados con modo vigilante habilitado

EstadoDescripción
VerificadoLa confirmación está firmada, la firma se verificó con éxito y el confirmante es el único autor que ha habilitado el modo vigilante.
Verificado  parcialmenteLa confirmación se firmó y la firma se verificó con éxito, pero la confirmación tiene un autor que: a) no es el confirmante y b) habilitó el modo vigilante. En este caso, la firma de confirmación no garantiza un consentimiento del autor, así que la confirmación se verifica solo parcialmente.
Sin verificarCualquiera de los siguientes es cierto:
- La confirmación se firmó pero la firma no pudo verificarse.
- La confirmación no se firmó y el confirmante habilitó el modo vigilante.
- La confirmación no se firmó y un autor habilitó el modo vigilante.

Los administradores de repositorios pueden implementar la firma de confirmación requerida en una rama para bloquear todas las confirmaciones que no estén firmadas y verificadas. Para obtener más información, consulta la sección "Acerca de las ramas protegidas".

Puedes comprobar el estado de verificación de tus confirmaciones o etiquetas firmadas en GitHub y ver por qué las firmas de tu confirmación podrían no ser verificadas. Para obtener más información, consulta "Comprobar la confirmación y el estado de verificación de firma de la etiqueta".

GitHub utilizará GPG automáticamente para firmar las confirmaciones que hagas utilizando la interface web de GitHub, con excepción de cuando combinas y fusionas una solicitud de cambios de la cual no seas autor. Las confirmaciones que firme GitHub tendrán un estado verificado en GitHub. Puedes verificar la firma localmente usando la clave pública disponible en https://github.com/web-flow.gpg. La huella dactilar completa de la llave es 5DE3 E050 9C47 EA3C F04A 42D3 4AEE 18F8 3AFD EB23. Opcionalmente, puedes elegir que GitHub firme las confirmaciones que hagas en Codespaces. Para obtener más información sobre cómo habilitar la verificación de GPG para tus codespaces, consulta la sección "Administrar la verificación de GPG para Codespaces".

Verificación de firma de confirmación GPG

Puedes usar GPG para firmar confirmaciones con una clave GPG que generas tu mismo.

GitHub usa las bibliotecas OpenPGP para confirmar que tus confirmaciones y etiquetas firmadas localmente son criptográficamente comprobables con una clave pública que has agregado a tu cuenta de GitHub.

Para firmar confirmaciones usando GPG y que esas confirmaciones sean verificadas en GitHub, sigue estos pasos:

  1. Comprobar las claves GPG existentes
  2. Generar una clave GPG nueva
  3. Agregar una clave GPG nueva a tu cuenta de GitHub
  4. Informarle a Git acerca de tu clave de firma
  5. Firmar confirmaciones
  6. Firmar etiquetas

Verificación de firma de confirmación S/MIME

Puedes usar S/MIME para firmar confirmaciones con una clave X.509 emitida por tu organización.

GitHub usa el paquete de certificados CA Debian, el mismo almacenamiento de confianza usado por los navegadores Mozilla, para confirmar que tus confirmaciones y etiquetas firmadas localmente son criptográficamente comprobables con una clave pública en un certificado raíz de confianza.

Nota: la verificación de firma S/MIME está disponible desde Git 2.19 o posterior. Para actualizar tu versiíon de Git, consulta el sitio web de Git.

Para firmar confirmaciones usando S/MIME y que esas confirmaciones sean verificadas en GitHub, sigue estos pasos:

  1. Informarle a Git acerca de tu clave de firma
  2. Firmar confirmaciones
  3. Firmar etiquetas

No es necesario cargar tu clave pública a GitHub.

Verificación de firma para bots

Las organizaciones y GitHub Apps que requieren de la firma de confirmación pueden usar bots para firmar las confirmaciones. Si una confirmación o etiqueta tienen una firma de bot que es criptográficamente comprobable, GitHub marca la confirmación o etiqueta como verificada.

La verificación de firma para bots solo funcionará si la solicitud se verifica y se autentica como la GitHub App o el bot y no contiene información de autor personalizada, información de persona que confirma el cambio personalizada ni información de firma personalizada, como API de confirmaciones.

Leer más

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.