Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Esta versão do GitHub Enterprise foi descontinuada em 2020-11-12. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

Sobre a verificação de assinatura de commit

Using GPG or S/MIME, you can sign tags and commits locally. Esses commits ou tags são marcados como verificados no GitHub Enterprise Server para que outras pessoas tenham a segurança de que as alterações vêm de uma fonte confiável.

Neste artigo

Sobre a verificação de assinatura de commit

Você pode assinar commits e tags localmente para que outras pessoas possam verificar se seu trabalho tem origem em uma fonte confiável. Se um commit ou uma tag tiver uma assinatura GPG ou S/MIME que possa ser verificada de maneira criptográfica, o GitHub Enterprise Server marcará o commit ou tag como verificado.

Commit verificado

Se um commit ou uma tag tiver uma assinatura que não possa ser verificada, o GitHub Enterprise Server marcará o commit ou a tag como não verificado(a).

Os administradores do repositório podem impor a assinatura de commit obrigatória em um branch para bloquear todos os commits que não estejam assinados e verificados. Para obter mais informações, consulte "Sobre a assinatura de commit obrigatória".

Você pode conferir o status de verificação de seus commits ou tags assinados no GitHub Enterprise Server e ver por que as assinaturas de commit podem não ter sido verificadas. Para obter mais informações, consulte "Conferir o status de verificação da assinatura de commit ou tag".

Verificação da assinatura de commit GPG

É possível usar GPG para assinar commits com uma chave GPG que você mesmo gera.

O GitHub Enterprise Server usa bibliotecas OpenPGP para confirmar se seus commits e tags assinados localmente são criptograficamente verificáveis em relação a uma chave pública que você adicionou à sua conta do GitHub Enterprise Server.

Para assinar commits usando GPG e para que esses commits sejam verificados no GitHub Enterprise Server, siga estas etapas:

  1. Verificar se há chaves GPG existentes
  2. Gerar uma nova chave GPG
  3. Adicionar uma nova chave GPG à sua conta do GitHub
  4. Informar o Git sobre a chave de assinatura
  5. Assinar commits
  6. Assinar tags

Verificação da assinatura de commit S/MIME

Você pode usar S/MIME para assinar commits com uma chave X.509 emitida pela organização.

O GitHub Enterprise Server usa o pacote Debian ca-certificates, a mesma loja confiável usada pelos navegadores Mozilla, para confirmar se seus commits e tags localmente assinados são criptograficamente verificáveis em uma chave pública em um certificado raiz confiável.

Nota: verificação de assinatura S/MIME está disponível no Git 2.19 ou mais tarde. Para atualizar sua versão do Git, consulte o site Git.

Para assinar commits usando S/MIME e para que esses commits sejam verificados no GitHub Enterprise Server, siga estas etapas:

  1. Informar o Git sobre a chave de assinatura
  2. Assinar commits
  3. Assinar tags

Não é preciso fazer upload da chave pública no GitHub Enterprise Server.

Leia mais