Hallo,
ich halte es für wünschenswert, dass die Repos, insb. solche, die Code enthalten, der auf Servern mit root-Rechten ausgeführt wird, signiert werden. Wenn man auf einem Rechner entwickelt, auf dem man seinen GnuPG-Schlüssel hat, geht das einfach mit „-S“ beim „git commt“. Wenn man GitHub noch mitteilt, welcher/s der/die eigenen Schlüssel sind, wird das auch im Webfrontend als „verifiziert“ angezeigt: Commits · eulenfunk/docs · GitHub
Was haltet ihr davon?
Da ich Änderungen im github ständig per Webinterface vornehme schlecht zu realisieren für mich. Web login hab ich per 2-factor abgesichert.
Schade, dann geht das leider nicht. (Wobei es natürlich nicht schaden würde, wenn andere dennoch signieren). 2-Faktor hilft zumindestens gegen dritte Angreifer, Signaturen begrenzen auch die möglichen Angriffe, die GitHub (oder jemand, der auf deren Server einbricht) ausführen könnte: Dort könnten dann zwar noch veralte Versionen unbemerkt ausgeliefert werden, aber kein beliebiger Code eingeschleust werden.