Chemaclass Chemaclass
Todos los artículos
Commits de Git Verificados

Commits de Git Verificados

Aumentando la confianza y seguridad en tu código

17/11/2024 3 min de lectura 462 palabras git security cryptography open-source
Firma tus commits de Git con GPG para demostrar que son tuyos. Sin firmas, cualquiera puede falsificar commits con tu email. Se configura en 5 minutos.

blog-cover

En desarrollo de software, la confianza y la seguridad son clave. Una forma fácil de mejorar ambas: usar commits verificados.

Ya trabajes en open-source o en una empresa privada, los commits verificados aseguran que tus contribuciones son legítimas. Veamos qué son, por qué importan y cómo empezar a usarlos.

¿Qué son los commits verificados?

Un commit verificado es un commit de Git firmado digitalmente por su autor. La firma demuestra que el commit viene de quien dice haberlo hecho. Herramientas como GPG (GNU Privacy Guard) permiten adjuntar esta firma.

En plataformas como GitHub verás una insignia “Verified” junto a los commits firmados. Es una forma rápida de mostrar que el commit es auténtico.

blog-cover

¿Por qué son importantes?

Los commits firmados mantienen tus contribuciones auténticas y confiables. La firma criptográfica demuestra que los cambios vinieron de ti. En entornos colaborativos, donde la confianza y la responsabilidad importan mucho, esto es clave.

Sin firmar, cualquiera puede falsificar un commit usando tu email. GitHub lo vincularía a tu perfil, pareciendo que hiciste los cambios aunque no fuera así. Nada bueno.

blog-cover

blog-cover

Al firmar tus commits, demuestras que el trabajo es tuyo. Evitas la suplantación, generas confianza y mantienes todo transparente.

Nota: Para esta demo, usé un email público de Linus Torvalds. Al hacer push, GitHub reconoció el email y lo vinculó a su perfil. Suplantación solo con fines de demo para mostrar los riesgos. Usa siempre tu propio email para commits.

Cómo empezar con commits verificados

Configura una clave GPG

Primero necesitas una clave GPG. Así se hace:

Genera una clave GPG:

gpg --full-generate-key

Encuentra tu ID de clave:

gpg --list-secret-keys --keyid-format=long

Dile a Git que use tu clave:

git config --global user.signingkey <tu-id-de-clave>

Haz que firmar commits sea el valor por defecto:

git config --global commit.gpgsign true

Añade tu clave a GitHub/GitLab

Exporta tu clave pública:

gpg --armor --export <tu-id-de-clave>

Navega a “Settings > SSH and GPG keys,” y pega tu clave.

blog-cover

Empieza a firmar commits

A partir de ahora, Git firmará tus commits automáticamente.

Si quieres firmar un commit a mano, usa la bandera -S:

git commit -S -m "Tu mensaje de commit"

Puedes verificar la firma del commit con:

git log --show-signature

También puedes hacer clic en la insignia “Verified” en GitHub.

blog-cover

Los commits verificados parecen un paso pequeño, pero hacen tu código más confiable. Una capa extra de protección fácil de añadir. Pruébalo.

Extra: Configuración completa en español

Enlaces relacionados

Atajos de Teclado

Movimiento vim hjkl

hArtículo anterior← left
jBajar↓ down
kSubir↑ up
lArtículo siguiente→ right
ggIr arriba
GIr al final
nSiguiente secciónnext heading
NSección anteriorprevious heading

Ir a g = go

ghIniciogo home
gbBloggo blog
grLecturasgo readings
gcCVgo cv

Acciones

/Buscarvim search
dCambiar temadark mode
tMostrar/ocultar índicetable of contents
iCambiar idiomai18n
mAlternar resaltadomark text

General

?Mostrar ayuda
EscCerrar
:Terminalvim command mode
↑↑↓↓←→←→BA???