Подписание Git-коммитов EnterpriseEnterprise +

Чтобы предотвратить подмену личности и повысить безопасность, вы можете подписывать свои Git-коммиты перед отправкой их в репозиторий. С помощью подписи Git-провайдер может криптографически проверить коммит и пометить его как «verified», обеспечивая большую уверенность в его происхождении.

Вы можете настроить dbt на подписание Git-коммитов при использовании Studio IDE для разработки. Для этого включите функцию в dbt, пройдите процесс генерации пары ключей и загрузите публичный ключ в ваш Git-провайдер для проверки подписи.

Предварительные требования

• В качестве Git-провайдера используется GitHub или GitLab. В настоящее время Azure DevOps не поддерживается.
• У вас есть аккаунт dbt на тарифе Enterprise или Enterprise+.

Генерация пары ключей GPG в dbt

Чтобы сгенерировать пару ключей GPG в dbt, выполните следующие шаги:

1. Перейдите на страницу Personal profile в dbt.
2. Откройте раздел Signed Commits.
3. Включите переключатель Sign commits originating from this user.
4. В результате будет сгенерирована пара ключей GPG. Приватный ключ будет использоваться для подписи всех будущих Git-коммитов. Публичный ключ будет отображён, и вы сможете загрузить его в ваш Git-провайдер.

Пример настройки профиля Signed commits

Загрузка публичного ключа в Git-провайдер

Чтобы загрузить публичный ключ в ваш Git-провайдер, следуйте подробной документации поддерживаемого Git-провайдера:

• Инструкции GitHub
• Инструкции GitLab

После загрузки публичного ключа в Git-провайдер ваши Git-коммиты будут помечаться как «Verified» после отправки изменений в репозиторий.

Пример подтверждённого Git-коммита в Git-провайдере.

Важные моменты

• Пара ключей GPG привязана к пользователю, а не к конкретному аккаунту. Между пользователем и парой ключей существует отношение 1:1. Один и тот же ключ используется для подписи коммитов во всех аккаунтах, участником которых является пользователь.
• Пара ключей GPG, сгенерированная в dbt, связана с адресом электронной почты, указанным в вашем аккаунте на момент создания ключей. Этот email используется для идентификации автора подписанных коммитов.
• Чтобы Git-коммиты помечались как «verified», адрес электронной почты dbt должен быть подтверждённым адресом в вашем Git-провайдере. Git-провайдер (например, GitHub или GitLab) проверяет, совпадает ли email, указанный в подписи коммита, с подтверждённым email в аккаунте провайдера. Если они не совпадают, коммит не будет помечен как «verified».
• Поддерживайте синхронизацию email-адреса в dbt и подтверждённого email в Git-провайдере, чтобы избежать проблем с проверкой. Если вы меняете email в dbt:
  • Сгенерируйте новую пару ключей GPG с обновлённым email, следуя описанным ранее шагам.
  • Добавьте и подтвердите новый email в вашем Git-провайдере.

Часто задаваемые вопросы

 Что произойдёт, если я удалю свою пару ключей GPG в dbt?

Если вы удалите пару ключей GPG в dbt, ваши Git-коммиты больше не будут подписываться. Вы можете сгенерировать новую пару ключей GPG, следуя описанным ранее шагам.

 Какие Git-провайдеры поддерживают GPG-ключи?

GitHub и GitLab поддерживают подписание коммитов, в то время как Azure DevOps — нет. Подписание коммитов — это функция git, независимая от конкретного провайдера. Однако не все провайдеры поддерживают загрузку публичных ключей или отображение значков проверки для коммитов.

 Что делать, если мой Git-провайдер не поддерживает GPG-ключи?

Если ваш Git-провайдер явно не поддерживает загрузку публичных GPG-ключей, коммиты всё равно будут подписываться с использованием приватного ключа, но информация о проверке не будет отображаться у провайдера.

 Что делать, если Git-провайдер требует, чтобы все коммиты были подписаны?

Если ваш Git-провайдер настроен на обязательную проверку коммитов, неподписанные коммиты будут отклоняться. Чтобы избежать этого, убедитесь, что вы выполнили все предыдущие шаги по генерации пары ключей и загрузили публичный ключ в провайдера.

Нашли ошибку?

Создать GitHub Issue