Commits de git verificados

Cuando se trata de desarrollo de software, la confianza y la seguridad son muy importantes. Una forma fácil de mejorar ambas es usando commits verificados.

Ya sea que estés trabajando en un proyecto open-source o en una empresa privada, los commits verificados pueden asegurar que tus contribuciones son legítimas. Vamos a desglosar qué son, por qué son importantes y cómo empezar a usarlos.

¿Qué son los commits verificados?#

Un commit verificado es básicamente un commit de Git que está firmado por el autor usando una firma digital. Esta firma demuestra que el commit realmente vino de la persona que dice haberlo hecho. Herramientas como GPG (GNU Privacy Guard) te permiten adjuntar esta firma a tus commits.

Si usas plataformas como GitHub, notarás una pequeña insignia de “Verified” junto a los commits que están firmados correctamente. Es una forma rápida de mostrar que el commit es auténtico.

¿Por qué son importantes?#

Los commits firmados ayudan a mantener tus contribuciones auténticas y confiables. Al añadir una firma criptográfica a tus commits, demuestras que los cambios vinieron de ti. Esto es especialmente importante en entornos colaborativos, donde mantener la confianza y la responsabilidad es clave.

Sin commits firmados, cualquiera podría falsificar un commit usando el email de otra persona. Por ejemplo, podrían usar tu email, y plataformas como GitHub lo vincularían a tu perfil, haciendo que parezca que tú hiciste los cambios — aunque no lo hicieras… ¡nada bueno!

Al firmar tus commits, demuestras que el trabajo es genuinamente tuyo. Detiene la suplantación, construye confianza en lo que has hecho, y mantiene todo transparente y responsable.

Nota: Para esta demo, usé una dirección de email pública perteneciente a Linus Torvalds. Después de hacer push del commit a este repositorio, GitHub reconoció el email y lo vinculó a su perfil. Esta suplantación es puramente con fines de demo para resaltar riesgos potenciales. Siempre usa tu propio email para commits.

Cómo empezar con commits verificados#

Configura una clave GPG#

Primero, necesitarás una clave GPG para empezar a firmar commits. Así es cómo:

Genera una clave GPG:

gpg --full-generate-key

Encuentra tu ID de clave:

gpg --list-secret-keys --keyid-format=long

Dile a Git que use tu clave:

git config --global user.signingkey <tu-id-de-clave>

Haz que firmar commits sea el valor por defecto:

git config --global commit.gpgsign true

Añade tu clave a GitHub/GitLab#

Exporta tu clave pública:

gpg --armor --export <tu-id-de-clave>

Navega a “Settings > SSH and GPG keys,” y pega tu clave.

Empieza a firmar commits#

A partir de ahora, Git firmará automáticamente tus commits.

Si quieres firmar un commit manualmente, simplemente usa la bandera -S:

git commit -S -m "Tu mensaje de commit"

Puedes verificar la firma del commit con:

git log --show-signature

Y también al hacer clic en la insignia “Verified” directamente en GitHub.

Los commits verificados pueden parecer un paso pequeño, pero hacen tu código más confiable. Es una forma fácil de añadir una capa extra de protección a tu trabajo — y vale la pena. ¡Pruébalo!

Extra: Configuración completa en español#

Enlaces relacionados

• Aprende más: ¿Qué es el cifrado PGP? Un tutorial de 3 minutos para principiantes