👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
Versión del artículo: GitHub.com

Acerca de la verificación de firma de confirmación

Usar GPG o S/MIME, puedes firmar etiquetas y confirmaciones de cambios localmente. Estas etiquetas o confirmaciones se marcan como verificadas en GitHub, para que otras personas puedan confiar en que los cambios vienen de una fuente confiable.

En este artículo

¿Pudiste encontrar lo que estabas buscando?

Acerca de la verificación de firma de confirmación

Puedes firmar confirmaciones y etiquetas localmente, para que otras personas puedan verificar que tu trabajo viene de una fuente confiable. Si una confirmación o etiqueta tienen una firma GPG o S/MINE que es criptográficamente comprobable, GitHub marca la confirmación o etiqueta como verificada.

Confirmación verificada

Si una confirmación o etiqueta tiene una firma que no puede ser comprobada, GitHub marca la confirmación o la etiqueta como no verificada.

Los administradores de repositorios pueden implementar la firma de confirmación requerida en una rama para bloquear todas las confirmaciones que no estén firmadas y verificadas. Para obtener más información, consulta "Acerca de la firma de confirmación requerida".

Puedes comprobar el estado de verificación de tus confirmaciones o etiquetas firmadas en GitHub y ver por qué las firmas de tu confirmación podrían no ser verificadas. Para obtener más información, consulta "Comprobar la confirmación y el estado de verificación de firma de la etiqueta".

GitHub utilizará GPG automáticamente para firmar las confirmaciones que hagas utilizando la interface web de GitHub con excepción de cuando combinas y fusionas una solicitud de extracción de la cual no seas autor. Las confirmaciones que firme GitHub tendrán un estado verificado en GitHub. Puedes verificar la firma localmente usando la clave pública disponible en https://github.com/web-flow.gpg.

Verificación de firma de confirmación GPG

Puedes usar GPG para firmar confirmaciones con una clave GPG que generas tu mismo.

GitHub usa las bibliotecas OpenPGP para confirmar que tus confirmaciones y etiquetas firmadas localmente son criptográficamente comprobables con una clave pública que has agregado a tu cuenta de GitHub.

Para firmar confirmaciones usando GPG y que esas confirmaciones sean verificadas en GitHub, sigue estos pasos:

  1. Comprobar las claves GPG existentes
  2. Generar una clave GPG nueva
  3. Agregar una clave GPG nueva a tu cuenta de GitHub
  4. Informarle a Git acerca de tu clave de firma
  5. Firmar confirmaciones
  6. Firmar etiquetas

Verificación de firma de confirmación S/MIME

Puedes usar S/MIME para firmar confirmaciones con una clave X.509 emitida por tu organización.

GitHub usa el paquete de certificados CA Debian, el mismo almacenamiento de confianza usado por los navegadores Mozilla, para confirmar que tus confirmaciones y etiquetas firmadas localmente son criptográficamente comprobables con una clave pública en un certificado raíz de confianza.

Nota: la verificación de firma S/MIME está disponible desde Git 2.19 o posterior. Para actualizar tu versiíon de Git, consulta el sitio web de Git.

Para firmar confirmaciones usando S/MIME y que esas confirmaciones sean verificadas en GitHub, sigue estos pasos:

  1. Informarle a Git acerca de tu clave de firma
  2. Firmar confirmaciones
  3. Firmar etiquetas

No es necesario cargar tu clave pública a GitHub.

Verificación de firma para bots

Las organizaciones y App GitHubs que requieren de la firma de confirmación pueden usar bots para firmar las confirmaciones. Si una confirmación o etiqueta tienen una firma de bot que es criptográficamente comprobable, GitHub marca la confirmación o etiqueta como verificada.

La verificación de firma para bots solo funcionará si la solicitud se verifica y se autentica como la App GitHub o el bot y no contiene información de autor personalizada, información de persona que confirma el cambio personalizada ni información de firma personalizada, como API de confirmaciones.

Leer más

¿Pudiste encontrar lo que estabas buscando?

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos