Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

À propos de la vérification des signatures de commit

En utilisant GPG ou S/MIME, vous pouvez signer des étiquettes localement. Ces étiquettes ou validations (commits) sont marquées comme vérifiées sur GitHub Enterprise Server afin que d’autres personnes puissent être certaines que les modifications proviennent d’une source approuvée.

À propos de la vérification des signatures de commit

Vous pouvez signer des commits et des étiquettes localement pour renforcer la confiance des autres utilisateurs quant à l’origine d’une modification que vous avez apportée. Si un commit ou une étiquette a une signature GPG ou S/MIME vérifiable par chiffrement, GitHub Enterprise Server marque le commit ou l’étiquette comme « Vérifié ».

Commit vérifié

Si un commit ou une étiquette a une signature qui ne peut pas être vérifié, GitHub Enterprise Server marque le commit ou l’étiquette comme « Non vérifié ».

Les administrateurs de dépôt peuvent appliquer la signature de commit nécessaire sur une branche pour bloquer tous les commits qui ne sont pas signés et vérifiés. Pour plus d’informations, consultez « À propos des branches protégées ».

Vous pouvez consulter l’état de vérification de vos étiquettes ou commits signés sur GitHub Enterprise Server et voir la raison pour laquelle vos signatures de commit ne son pas vérifiées. Pour plus d’informations, consultez « Consultation de l’état de vérification de signature de vos étiquettes et commits ».

Si un administrateur de site a activé la signature de commit web, GitHub Enterprise Server utilise automatiquement GPG pour signer les commits que vous effectuez à l’aide de l’interface web. Les commits signés par GitHub Enterprise Server ont un état vérifié. Vous pouvez vérifier la signature localement à l’aide de la clé publique disponible à l’adresse https://HOSTNAME/web-flow.gpg. Pour plus d’informations, consultez « Configuration de la signature de commit web ».

Vérification des signatures de commit GPG

Vous pouvez utiliser GPG pour signer des commits avec une clé GPG que vous générez vous-même.

GitHub Enterprise Server utilise des bibliothèques OpenPGP pour vérifier que vos commits et étiquettes signés localement sont vérifiables par chiffrement par rapport à une clé publique que vous avez ajoutée à votre compte sur votre instance GitHub Enterprise Server.

Pour signer des commits avec GPG et les faire vérifier sur GitHub Enterprise Server, effectuez les étapes suivantes :

  1. Vérifier les clés GPG existantes
  2. Générer une nouvelle clé GPG
  3. Ajouter une clé GPG à votre compte GitHub
  4. Informer Git de l’utilisation de votre clé de signature
  5. Signer les commits
  6. Signer les étiquettes

Vérification des signatures de commit S/MIME

Vous pouvez utiliser S/MIME pour signer des commits avec une clé X.509 émise par votre organisation.

GitHub Enterprise Server utilise le paquet ca-certificates Debian (magasin de confiance utilisé par les navigateurs Mozilla) pour vérifier que vos commits et étiquettes signés localement sont vérifiables par chiffrement par rapport à une clé publique dans un certificat racine approuvé.

Remarque : La vérification de signature S/MIME est disponible dans Git 2.19 ou version ultérieure. Pour mettre à jour votre version de Git, consultez le site web Git.

Pour signer des commits avec S/MIME et les faire vérifier sur GitHub Enterprise Server, effectuez les étapes suivantes :

  1. Informer Git de l’utilisation de votre clé de signature
  2. Signer les commits
  3. Signer les étiquettes

Vous n’avez pas besoin de charger votre clé publique sur GitHub Enterprise Server.

Pour aller plus loin