GitHub Commit signature verification - 确定每次变更来源是可以信任的

GnuPG (简称 GPG)，允许作者对资料与通信进行加密与签章。你可以在本地端使用 GPG 对 Commit 与 Tag 进行签章，再推送(Push) 至 GitHub 时，GitHub 会以公开金钥进行验证，确认变更来源，让其他人确信这次的变更来源是可以信任的。

产生 GPG Key pair 并上传 public key 至 GitHub

1. 点选开始 > 输入 Git Bash > 开启 Git Bash (需要安装 Git，请自行安装，这里不在赘述)
   

2. 输入指令 gpg --full-generate-key，并依序输入(如下图所示)
   选项 1: 1 (RSA and RSA)
   选项 2: 4096
   选项 3: 直接 Enter (使用预设0)
   选项 4: Y

3. 输入你的 ID 与信箱，Comment 可以留空白，最後选择 O
   

4. 输入你的金钥密码
   

5. 输入指令 gpg --list-keys --keyid-format LONG，列出安装於本机的金钥组合
   

6. 输入指令 gpg --armor --export [上途中红色线部分] | clip，即可复制公开金钥
   

7. 点选右上角个人头像旁的下拉选单 > Settings
   

8. 左边选单找到 SSH and GPG keys，点选 New GPG Key
   

9.贴上公开金钥，点选 Add GPG key，即完成设定

Sign Commit

1. 在 local 端以命令列开启专案位置，输入 git config commit.gpgsign true，并且输入 git config --global gpg.program "C:\Program Files\Git\usr\bin\gpg.exe" 设定 gpg 位置
   

2. 简单程序做一些变更後，commit/push 你的程序，回到你的 Repo，点选刚刚更新的 commit
   

3. 可以看见 Commit 多了 Verified 标注
   

阅读完 GitHub 一系列安全相关的文章，您应该对於 GitHub 上的为何有这些功能与如何使用这些功能有更进一步的了解，也强力建议你在阅读这些文章的同时，也顺手将这些功能启用，避免有任何资料泄漏、程序漏洞或钓鱼事件发生。在下一篇文章开始，我们将开始介绍 GitHub Project Board(看板)与社群功能。

若喜欢我的文章，欢迎点 like, 分享与订阅。

参考资料

1.GnuPG