Einrichtung Code Signing (Git Commit Signing)

Wir signieren alle Git-Commits mit einem GPG Schlüssel, damit GitHub sie als "Verified" markiert. Das erhöht Integrität & Vertrauen in unseren Code.

Ziel

Eindeutig nachweisbare Autorenschaft der Commits ("Verified" Badge auf GitHub).

Variante

Empfohlen: GPG Signing

Vorbereitung

macOS: brew install gnupg
Windows: Gpg4win installieren: https://gpg4win.org (Standard-Setup).

GPG Schlüssel erzeugen

bash

# Interaktiv (Name & Firmen-Mail verwenden, kein Ablaufdatum nötig)
gpg --full-generate-key

# Schlüssel-ID anzeigen (letzte 16 Zeichen z.B.)
gpg --list-secret-keys --keyid-format=long

Notiere die lange Key-ID (z.B. ABCD1234EF567890).

Öffentlichen Schlüssel exportieren & zu GitHub hinzufügen

bash

gpg --armor --export YOUR_KEY_ID > pubkey.asc

GitHub: Settings → SSH and GPG keys → New GPG key → Inhalt von pubkey.asc einfügen.

Git konfigurieren

bash

git config --global user.signingkey YOUR_KEY_ID
git config --global commit.gpgsign true
git config --global gpg.program gpg

Sourcetree

Preferences / Optionen → Git → "Commit signing" aktivieren (falls verfügbar).
Falls Sourcetree den Schlüssel nicht findet: GPG Pfad hinterlegen (macOS meist /opt/homebrew/bin/gpg, Windows Standardpfad von Gpg4win).

Test

bash

git commit -m "test: signed commit"
git push

Auf GitHub sollte der Commit jetzt "Verified" anzeigen.

Einrichtung Code Signing (Git Commit Signing) ​

Ziel ​

Variante ​

Vorbereitung ​

GPG Schlüssel erzeugen ​

Öffentlichen Schlüssel exportieren & zu GitHub hinzufügen ​

Git konfigurieren ​

Sourcetree ​

Test ​

Einrichtung Code Signing (Git Commit Signing)

Ziel

Variante

Vorbereitung

GPG Schlüssel erzeugen

Öffentlichen Schlüssel exportieren & zu GitHub hinzufügen

Git konfigurieren

Sourcetree

Test