我通过设置gpg键从本地存储库中获得了git commits,以在github上显示“ verified”。
但是为什么我在github上的提交(当我在github上时)没有显示为'verified'?它什么也没显示,表明github将它们视为未验证的提交。这是预期的,还是我需要在github上配置一些内容?
谢谢。
您无法签署通过GitHub Web界面创建的提交/标签。仅本地提交/标记可以签名。
这是因为签名密钥由两部分组成-公共和私有。和私钥MUST NEVER LEAVE您的计算机。
公共部分可以加密数据,私有部分可以解密数据,因此只有您才能读取加密的数据。私钥对数据签名,公钥进行验证,因此只有您可以使用密钥签名,但任何人都可以验证您的签名。
[当您将GPG密钥上传到GitHub时,您仅上传了公共密钥,因此GitHub只能验证已签名的提交/标签,但不能对其进行签名。
不完全是。如果您要在GitHub.com网站上提交某些内容(例如,通过单击铅笔图标编辑README.md文件,然后通过单击commit button on Github web提交),则预期的行为是该提交由Github.com签名(使用[ C0](在我的情况下)