Come posso verificare i commit firmati fatti da altre persone?

2

Come identificato in questa domanda correlata , i segni github vengono commessi dalla loro applicazione con la loro chiave GPG 4AEE18F83AFDEB23 . Online, posso vedere i commit contrassegnati come "verificati". Ma quando provo a verificarli sul mio locale, non riesco a:

$ git log --show-signature

commit 1bd20e9f7ed0860dc1971957b61ea25aeea499a1
gpg: Signature made Tue  6 Feb 00:04:43 2018 AEDT
gpg:                using RSA key 4AEE18F83AFDEB23
gpg: Can't check signature: No public key
Merge: c1218d5 0dde09c
Author: Brendan Roy <[email protected]>
Date:   Tue Feb 6 00:04:43 2018 +1100

    Merge pull request #1 from bmon/pullreq

    this is a test

1bd20e9 è un github di commit eseguito per mio conto. Come posso verificare che il commit sia stato fatto da github?

    
posta Brendan Roy 14.09.2018 - 00:49
fonte

1 risposta

1

Devi avere la copia della chiave GPG pubblica installata nel tuo GPG portachiavi per convalidare la firma.

curl 'https://sks-keyservers.net/pks/lookup?op=get&search=0x4AEE18F83AFDEB23' | gpg --import

o

gpg --keyserver hkp://pgp.mit.edu --search-keys 0x4AEE18F83AFDEB23

    
risposta data 14.09.2018 - 01:07
fonte

Leggi altre domande sui tag