Come spiega dr jimbob, git di default non è abbastanza sicuro come probabilmente ti piacerebbe per questa applicazione. Tuttavia, esiste un'opzione per questo tipo di situazione, ovvero per firmare i tuoi commit o tag con GPG .
Se lo fai, allora hanno una garanzia potenzialmente molto più strong di aver creato questo lavoro; ora ti stai affidando principalmente a GPG e alla rete di fiducia per fare la verifica, piuttosto che git stessa. Le solite cose GPG si applicano, ad es. devono fidarsi della tua chiave, devi tenere la tua chiave al sicuro, ecc.
Si noti inoltre che se si firma un particolare commit, si sta verificando l'autenticità dell'intera cronologia del commit che porta a quello. Nel tuo caso, questo non dovrebbe essere un problema, dal momento che sei l'unico responsabile del repository, ma è qualcosa da tenere a mente mentre lavori.
Questo potrebbe fornire ancora problemi nel provare il tempo . Quella informazione è memorizzata in un commit, ma puoi controllarla (ovviamente modificando il tuo orologio di sistema). Quindi quello che abbiamo alla fine di questo è una buona garanzia che hai impegnato un particolare testo in ciò che rivendichi è un certo tempo . Se vuoi garantire che non hai dati post-datati, dovrai coinvolgere un sistema esterno con un orologio attendibile.