背景
- Git では分散性から Author / Committer 等の情報を偽造することから容易です
- しかし人数が増え続けているこの組織において本当にコミットしたのが誰なのかを特定し,そのコミットについての限定的な責任を追うことは必要不可欠です
内容
- ゆめみで行う すべて のコミット (社外のリポジトリに招待された場合や, GitHub 以外を用いる場合も含む) に対して署名を行うことを 標準 とします
- 特に,可能であれば PGP による署名を行うことを 推奨 します
- 例えば GitHub では他に X.509 や SSH 鍵を使った署名が可能です
- https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits
- リポジトリ単位で可能と判断された場合は Repository Ruleset による署名の強制を行うことを 推奨 します
https://docs.github.com/en/repositories/configuring-branches-and-merges-in-your-repository/managing-rulesets/available-rules-for-rulesets#require-signed-commits