🔐 Git: Sicherstellung der Integrität und Authentizität der Historie

der 6. September 2025

Git ist nicht nur ein Versionskontrollsystem. Es ist auch ein Rückverfolgbarkeitssystem, das sicherstellen soll, dass der Verlauf eines Projekts sowohl manipulationssicher als auch authentifiziert ist.

Zwei Hauptmechanismen gewährleisten diese Zuverlässigkeit:

  • SHAs → Integrität von Inhalten und Metadaten
  • GPG-Signaturen → Authentizität des Autors und der Freigaben

🔑 SHAs: unveränderliche Fingerabdrücke

Jeder Commit wird durch einen SHA-1 (40 hexadezimale Zeichen) identifiziert. Dieser Hash wird generiert aus:

  • der Projektbaum
  • das übergeordnete Commit
  • die Dateien (Blobs)
  • die Metadaten (Autor, Datum, Nachricht)

Beispiel :

Commit a3f5c9d1e0b8f43c94c2f7d8c1e6a2b8f76d1234 Autor: Alice<[email protected]> Datum: Do 5. September 12:34:56 2024 +0200

Parser-Edge-Case beheben

Eigenschaften

  • Unveränderlichkeit: Eine Änderung des Inhalts führt zu einem neuen SHA. * Abhängigkeitskette: Jeder Commit verweist auf seinen übergeordneten Commit → die Änderung eines alten Commits würde die gesamte Sequenz ungültig machen. * Zuverlässige Prüfung: Möglichkeit, zwei bestimmte Zustände des Projekts zu vergleichen.

Nützliche Befehle

git log --oneline --graph --decorate
# Gekürzte Historie git show<sha>
# Details eines Git-Diff-Commits<sha1> ..<sha2>
# Vergleichen Sie zwei Commits git cat-file -p<sha>
# Interne Objekte untersuchen

🛡️ GPG-Signaturen: Authentifizieren Sie den Autor

SHA garantiert die Datenintegrität. Es beweist jedoch nicht, wer einen Commit oder Tag erstellt hat.

Git ermöglicht das Hinzufügen einer kryptografischen Signatur über GPG.

Konfiguration

# Generieren eines GPG-Schlüssels --full-generate-key
# Identifizieren Sie Ihren GPG-Schlüssel --list-secret-keys --keyid-format=long
# Git konfigurieren git config --global user.signingkey<KEYID> git config --global commit.gpgsign true

Verwendung

# Commit signiert git commit -S -m "Fehler im Parser beheben"
# Tag signiert git tag -s v2.0.0 -m "Release 2.0.0"

Überprüfung

# Importieren Sie den öffentlichen GPG-Schlüssel --keyserver pgp.mit.edu --recv-keys<PUBKEYID>
# Überprüfen Sie ein Tag git tag -v v2.0.0
# Zeigen Sie die Signatur eines Commits oder Tags an git show --show-signature<ref>

Voraussichtliche Veröffentlichung:

gpg: Gute Signatur von "Alice<[email protected]> "

Interesse

  • Schutz vor Identitätsdiebstahl.
  • Überprüfung der Authentizität von Releases (signierte Tags).
  • Mögliche Integration in CI/CD-Pipelines („git verify-commit“, „git verify-tag“).

📌 Bewährte Methoden

  • Aktivieren Sie die Standardsignatur für Ihre Commits: bash git config --global commit.gpgsign true
  • Signieren Sie offizielle Releases immer mit „git tag -s“.
  • Veröffentlichen Sie Ihren öffentlichen Schlüssel auf einem Server oder direkt in GitHub/GitLab, um Ihren Mitarbeitern eine Überprüfung zu ermöglichen.
  • Integrieren Sie die automatische Überprüfung in Ihre CI/CD-Workflows, um nicht signierten Code abzulehnen.

🚀 Fazit

Git stellt die Integrität des Verlaufs mithilfe von SHAs sicher. Mithilfe von GPG-Signaturen garantiert es dessen Authentizität.

Zwei sich ergänzende Mechanismen, die Git zu einem zuverlässigen Tool machen, nicht nur für die Zusammenarbeit, sondern auch für die Sicherung der Softwarekette.

🎁 Ich biete kostenlose 30-minütige Coaching-Sitzungen an, um Kreativen wie dir dabei zu helfen, ihre Prozesse zu automatisieren und Zeit zu sparen. ⏱️

👉 Buche deine kostenlose Sitzung hier: https://www.bonzai.pro/matyo91/lp/4471/je-taide-a-automatiser-tes-process

Vielen Dank fürs Lesen! Lass uns gemeinsam intelligente, schnelle und automatisierte Workflows erstellen. 💻⚡