Chemaclass Chemaclass
Todos los artículos
Commits de Git Verificados

Commits de Git Verificados

Aumentando la confianza y seguridad en tu código

17/11/2024 3 min de lectura 462 palabras git security cryptography open-source
Firma tus commits de Git con GPG para demostrar que son tuyos. Sin firmas, cualquiera puede falsificar commits con tu email. Se configura en 5 minutos.

blog-cover

En desarrollo de software, la confianza y la seguridad son clave. Una forma facil de mejorar ambas: usar commits verificados.

Ya trabajes en open-source o en una empresa privada, los commits verificados aseguran que tus contribuciones son legitimas. Veamos que son, por que importan y como empezar a usarlos.

¿Que son los commits verificados?

Un commit verificado es un commit de Git firmado digitalmente por su autor. La firma demuestra que el commit viene de quien dice haberlo hecho. Herramientas como GPG (GNU Privacy Guard) permiten adjuntar esta firma.

En plataformas como GitHub veras una insignia “Verified” junto a los commits firmados. Es una forma rapida de mostrar que el commit es autentico.

blog-cover

¿Por que son importantes?

Los commits firmados mantienen tus contribuciones autenticas y confiables. La firma criptografica demuestra que los cambios vinieron de ti. En entornos colaborativos, donde la confianza y la responsabilidad importan mucho, esto es clave.

Sin firmar, cualquiera puede falsificar un commit usando tu email. GitHub lo vincularia a tu perfil, pareciendo que hiciste los cambios aunque no fuera asi. Nada bueno.

blog-cover

blog-cover

Al firmar tus commits, demuestras que el trabajo es tuyo. Evitas la suplantacion, generas confianza y mantienes todo transparente.

Nota: Para esta demo, use un email publico de Linus Torvalds. Al hacer push, GitHub reconocio el email y lo vinculo a su perfil. Suplantacion solo con fines de demo para mostrar los riesgos. Usa siempre tu propio email para commits.

Como empezar con commits verificados

Configura una clave GPG

Primero necesitas una clave GPG. Asi se hace:

Genera una clave GPG:

gpg --full-generate-key

Encuentra tu ID de clave:

gpg --list-secret-keys --keyid-format=long

Dile a Git que use tu clave:

git config --global user.signingkey <tu-id-de-clave>

Haz que firmar commits sea el valor por defecto:

git config --global commit.gpgsign true

Añade tu clave a GitHub/GitLab

Exporta tu clave pública:

gpg --armor --export <tu-id-de-clave>

Navega a “Settings > SSH and GPG keys,” y pega tu clave.

blog-cover

Empieza a firmar commits

A partir de ahora, Git firmara tus commits automaticamente.

Si quieres firmar un commit a mano, usa la bandera -S:

git commit -S -m "Tu mensaje de commit"

Puedes verificar la firma del commit con:

git log --show-signature

Tambien puedes hacer clic en la insignia “Verified” en GitHub.

blog-cover

Los commits verificados parecen un paso pequeno, pero hacen tu codigo mas confiable. Una capa extra de proteccion facil de anadir. Pruebalo.

Extra: Configuración completa en español

Enlaces relacionados

hjklmove /search yyank dtheme ilang ttoc mmark nnote ?help

Atajos de Teclado

Movimiento vim hjkl

hArtículo anterior← left
jBajar↓ down
kSubir↑ up
lArtículo siguiente→ right
ggIr arriba
GIr al final
nSiguiente secciónnext heading
NSección anteriorprevious heading

Ir a g = go

ghIniciogo home
gbBloggo blog
grLecturasgo readings
gpTemasgo topics
geServiciosgo services
gaCharlasgo talks

Acciones

/Buscarvim search
yCopiar URLvim yank
dCambiar temadark mode
tMostrar/ocultar índicetable of contents
iCambiar idiomai18n
fSeguir enlacefollow link
mAlternar resaltadomark text

General

?Mostrar ayuda
ShiftMantener para mostrar atajos
EscCerrar
:Terminalvim command mode