Come identificato in questa domanda correlata , i segni github vengono commessi dalla loro applicazione con la loro chiave GPG 4AEE18F83AFDEB23 . Online, posso vedere i commit contrassegnati come "verificati". Ma quando provo a verificarli sul mio locale, non riesco a:
$ git log --show-signature
commit 1bd20e9f7ed0860dc1971957b61ea25aeea499a1
gpg: Signature made Tue 6 Feb 00:04:43 2018 AEDT
gpg: using RSA key 4AEE18F83AFDEB23
gpg: Can't check signature: No public key
Merge: c1218d5 0dde09c
Author: Brendan Roy <[email protected]>
Date: Tue Feb 6 00:04:43 2018 +1100
Merge pull request #1 from bmon/pullreq
this is a test
1bd20e9 è un github di commit eseguito per mio conto. Come posso verificare che il commit sia stato fatto da github?