github でのコミットの “Verified” 判定はどのタイミングで行われる?

投稿者: Anonymous

github では、 gpg キーでコミットを署名すると、そのコミットに対しては “Verified” のマークが付与されます。

しかし、 gpg のキーには例えば有効期間の概念があり、なので未来永劫同じキーを使い続けるような運用には、無理があります。

質問

  • github 上にて、コミットの “Verified” 判定はどのタイミングで行われますか?
    • それは、一度 “Verified” になればその後も “Verified” になり続ける、という理解で正しいですか?

解決

GPGキーはGitHub側にもあらかじめ登録する必要があるはずなので、コミットのpush時
「コミットの署名」と「GitHubに登録されたキー」が一致しているか、で判定ではないでしょうか。

https://help.github.com/ja/articles/managing-commit-signature-verification

回答者: Anonymous

Leave a Reply

Your email address will not be published. Required fields are marked *