🔐 Git : assurer l’intĂ©gritĂ© et l’authenticitĂ© de l’historique

le 6 septembre 2025

Git n’est pas seulement un gestionnaire de versions. C’est aussi un systĂšme de traçabilitĂ© conçu pour garantir que l’historique d’un projet est Ă  la fois inviolable et authentifiĂ©.

Deux mécanismes principaux assurent cette fiabilité :

  • les SHAs → intĂ©gritĂ© du contenu et des mĂ©tadonnĂ©es
  • les signatures GPG → authenticitĂ© de l’auteur et des releases

🔑 SHAs : empreintes immuables

Chaque commit est identifié par un SHA-1 (40 caractÚres hexadécimaux). Ce hash est généré à partir de :

  • l’arborescence du projet (tree)
  • le commit parent
  • les fichiers (blobs)
  • les mĂ©tadonnĂ©es (auteur, date, message)

Exemple :

commit a3f5c9d1e0b8f43c94c2f7d8c1e6a2b8f76d1234
Author: Alice <[email protected]>
Date:   Thu Sep 5 12:34:56 2024 +0200

Fix parser edge case

Propriétés

  • ImmuabilitĂ© : une modification du contenu entraĂźne un nouveau SHA.
  • ChaĂźne de dĂ©pendance : chaque commit rĂ©fĂ©rence son parent → modifier un ancien commit invaliderait toute la suite.
  • Audit fiable : possibilitĂ© de comparer deux Ă©tats prĂ©cis du projet.

Commandes utiles

git log --oneline --graph --decorate   # Historique condensé
git show <sha>                         # DĂ©tails d’un commit
git diff <sha1>..<sha2>                # Comparer deux commits
git cat-file -p <sha>                  # Inspecter les objets internes

đŸ›Ąïž Signatures GPG : authentifier l’auteur

Le SHA garantit l’intĂ©gritĂ© des donnĂ©es. Mais il ne prouve pas qui a produit un commit ou un tag.

Git permet d’ajouter une signature cryptographique via GPG.

Configuration

# GĂ©nĂ©ration d’une clĂ©
gpg --full-generate-key

# Identifier votre clé
gpg --list-secret-keys --keyid-format=long

# Configurer Git
git config --global user.signingkey <KEYID>
git config --global commit.gpgsign true

Usage

# Commit signé
git commit -S -m "Fix bug in parser"

# Tag signé
git tag -s v2.0.0 -m "Release 2.0.0"

VĂ©rification

# Importer la clé publique
gpg --keyserver pgp.mit.edu --recv-keys <PUBKEYID>

# VĂ©rifier un tag
git tag -v v2.0.0

# Voir la signature d’un commit ou d’un tag
git show --show-signature <ref>

Sortie attendue :

gpg: Good signature from "Alice <[email protected]>"

IntĂ©rĂȘt

  • Protection contre l’usurpation d’identitĂ©.
  • VĂ©rification de l’authenticitĂ© des releases (tags signĂ©s).
  • IntĂ©gration possible dans les pipelines CI/CD (git verify-commit, git verify-tag).

📌 Bonnes pratiques

  • Activer la signature par dĂ©faut pour vos commits : 
    git config --global commit.gpgsign true
  • Toujours signer les releases officielles avec git tag -s.
  • Publier votre clĂ© publique sur un serveur ou directement dans GitHub/GitLab pour permettre la vĂ©rification par vos collaborateurs.
  • IntĂ©grer la vĂ©rification automatique dans vos workflows CI/CD pour rejeter du code non signĂ©.

🚀 Conclusion

GrĂące aux SHAs, Git assure l’intĂ©gritĂ© de l’historique. GrĂące aux signatures GPG, il en garantit l’authenticitĂ©.

Deux mécanismes complémentaires qui font de Git un outil fiable, non seulement pour collaborer, mais aussi pour sécuriser la chaßne logicielle.

🎁 Je propose des sĂ©ances de coaching gratuites de 30 minutes pour aider les crĂ©ateurs comme vous Ă  automatiser leurs processus et Ă  gagner du temps ⏱

👉 RĂ©servez votre sĂ©ance gratuite ici : https://www.bonzai.pro/matyo91/lp/4471/je-taide-a-automatiser-tes-process

Merci de votre lecture ! CrĂ©ons ensemble des workflows intelligents, rapides et automatisĂ©sÂ đŸ’»âšĄ