有没有一种方法可以使用GPG密钥在Git中“自动签名”提交？

有没有一种简单的方法可以使Git始终对创建的每个提交或标记进行签名？

我尝试了类似的东西：

别名commit = commit -S

但这并不能解决问题。

我不想安装其他程序来实现此目的。容易做到吗？

只是一个附带的问题，也许不应该对提交进行签名，而只能标记我从未创建过的标签，因为我为Homebrew等项目提交了单个提交。

注意：如果您不想一直-S花费所有时间来确保您的提交已签名，则有一个建议（pu现在，在2013年12月分支' '，因此不能保证它将添加到git版本中）。 config，它将为您处理该选项。
2014年5月更新：它在Git 2.0中（在此补丁系列中重新发送之后）

见提交2af2ef3由尼古拉斯·Vigier（boklm） ：

添加commit.gpgsign选项以签署所有提交

如果您想对所有提交进行GPG签名，则必须一直添加该-S选项。
该commit.gpgsign配置选项允许自动登录所有的提交。

commit.gpgsign

一个布尔值，用于指定是否所有提交都应由GPG签名。
在执行诸如变基之类的操作时使用此选项可能导致对大量提交进行签名。使用代理来避免多次键入GPG密码可能会很方便。

该配置通常是针对每个存储库设置的（您无需签署您的私人实验本地存储库）：

cd /path/to/repo/needing/gpg/signature
git config commit.gpgsign true

您可以将其与user.signingKey用作全局设置结合使用（用于要签署提交的所有存储库的唯一密钥）

git config --global user.signingkey F2C7AB29

user.signingKey是在git 1.5.0（2007年1月）中引入的，提交为d67778e：

我不应该要求我在git存储库和gpg密钥中使用相同形式的名称。
此外，我的钥匙圈中可能有多个钥匙，并且可能想使用与我在提交消息中使用的地址不匹配的钥匙。

该补丁添加了一个配置条目“ user.signingKey”，如果存在，它将被传递到gpg的“ -u”开关，从而允许覆盖标签签名密钥。

这与强制执行承诺aba9119为了赶在那里如果用户错误配置的情况下（GIT 1.5.3.2）user.signingKey在他们的.git/config或根本就没有自己的钥匙圈任何密钥。

笔记：

• 按照惯例，自git 2.4.0 2015年3月以来，它是signingKey，不是signingkey，即使git config密钥不区分大小写。仅当您这样做git config --get-regexp时（大小写敏感）才有意义，否则，这只是可读性惯例；
• 如果您想让git服务器检查每次推送的签名，则您至少需要git 2.2+（2014年10月）（提交b945901），因为git push --signed无法考虑user.signingKeyconfig值；
• git 2.9（2016年6月）将用于user.signingKey强制对带注释的标签和提交进行签名：commit 61c2fe0。

git config --global user.signingKey 9E08524833CB3038FDE385C54C0AFCCFED5CDE14
git config --global commit.gpgSign true

将9E08524833CB3038FDE385C54C0AFCCFED5CDE14替换为您的密钥ID。请记住：使用简短ID绝不是一个好主意。

更新：根据新的git edict，所有配置键都应位于camelCase中。

编辑：作为Git版本1.7.9，它是可能签署的Git提交（git commit -S）。稍微更新答案以反映这一点。

问题标题为：

有没有一种方法可以使用GPG密钥在Git中“自动签名”提交？

简短的回答：是的，但是不要这样做。

解决输入中的错字：git commit -s不签署提交。而是从man git-commit页面：

-s，--signoff
在提交日志消息的末尾，由提交者添加“按签署者退出”行。

这将提供类似于以下内容的日志输出：

± $ git log                                                                                 [0:43:31]
commit 155deeaef1896c63519320c7cbaf4691355143f5
Author: User Name 
Date:   Mon Apr 16 00:43:27 2012 +0200

    Added .gitignore

    Signed-off-by: User Name 

注意“ Sign-off-by：...”位；是由上的-s标志生成的git-commit。

引用发布公告电子邮件：

• “ git commit”获悉“ -S”以进行GPG签名；这可以通过“ git log”的“ --show-signature”选项显示。

因此，可以签署提交。但是，我个人强烈建议您谨慎使用此选项；自动签署提交几乎没有意义，请参见下文：

只是一个附带的问题，也许不应该对提交进行签名，而应该只标记我从未创建的标签，因为我提交单个提交。

没错 提交未签名；标签是。原因可以在Linus Torvalds的此消息中找到，该消息的最后一段说：

签署每个提交完全是愚蠢的。这仅意味着您将其自动化，并使签名价值降低。它也没有增加任何实际价值，因为SHA1的git DAG链的工作方式，您只需要一个 签名就可以使该提交有效地覆盖所有提交。因此，对每个提交进行签名只是遗漏了要点。

我鼓励浏览链接的消息，这阐明了为什么自动签名提交不是一个比我可以做的更好的好主意。

但是，如果您想自动对标签进行签名，则可以通过将其包装git-tag -[s|u]在别名中来实现；如果要执行此操作，则可能要在其中设置密钥ID ~/.gitconfig或特定于项目的.git/config文件。有关该过程的更多信息，请参见git社区书。签署标签比签署您的每次提交都更加有用。

要使自动签名在git版本2.0之前可用，您必须添加git别名进行提交。

# git config --global alias.commit commit -S
[alias]
    commit = commit -S

您需要明确指出，如果您签署了提交或标记，则并不意味着您同意整个历史记录。在提交的情况下，您只需在手头签名更改，在使用标记的情况下，..您需要定义它的含义。您可能已拉出一个更改，声称它是您发来的，但不是（因为其他人将其推到了您的遥控器上）。或者，您不想进行更改，但是您刚刚对标签进行了签名。

在典型的OSS项目中，这种情况可能不那么常见，但是在企业场景中，您不时地仅触摸代码，而您没有阅读全部历史记录，这可能会被忽略。

如果将提交提交重新签名或与其他父母挑选，则签署提交是一个问题。但是，如果修改后的提交可以指向实际验证的“原始”提交，那就太好了。