Git n’est pas seulement un gestionnaire de versions. C’est aussi un système de traçabilité conçu pour garantir que l’historique d’un projet est à la fois inviolable et authentifié.

Deux mécanismes principaux assurent cette fiabilité :

• les SHAs → intégrité du contenu et des métadonnées

• les signatures GPG → authenticité de l’auteur et des releases

Chaque commit est identifié par un SHA-1 (40 caractères hexadécimaux). Ce hash est généré à partir de :

• l’arborescence du projet (tree)

• le commit parent

• les fichiers (blobs)

• les métadonnées (auteur, date, message)

Exemple :

commit a3f5c9d1e0b8f43c94c2f7d8c1e6a2b8f76d1234 Author: Alice <[email protected]> Date: Thu Sep 5 12:34:56 2024 +0200 Fix parser edge case

• Immuabilité : une modification du contenu entraîne un nouveau SHA.

• Chaîne de dépendance : chaque commit référence son parent → modifier un ancien commit invaliderait toute la suite.

• Audit fiable : possibilité de comparer deux états précis du projet.

git log --oneline --graph --decorate # Historique condensé git show <sha> # Détails d’un commit git diff <sha1>..<sha2> # Comparer deux commits git cat-file -p <sha> # Inspecter les objets internes

Le SHA garantit l’intégrité des données. Mais il ne prouve pas qui a produit un commit ou un tag.

Git permet d’ajouter une signature cryptographique via GPG.

# Génération d’une clé gpg --full-generate-key # Identifier votre clé gpg --list-secret-keys --keyid-format=long # Configurer Git git config --global user.signingkey <KEYID> git config --global commit.gpgsign true

# Commit signé git commit -S -m "Fix bug in parser" # Tag signé git tag -s v2.0.0 -m "Release 2.0.0"

# Importer la clé publique gpg --keyserver pgp.mit.edu --recv-keys <PUBKEYID> # Vérifier un tag git tag -v v2.0.0 # Voir la signature d’un commit ou d’un tag git show --show-signature <ref>

Sortie attendue :

gpg: Good signature from "Alice <[email protected]>"

• Protection contre l’usurpation d’identité.

• Vérification de l’authenticité des releases (tags signés).

• Intégration possible dans les pipelines CI/CD (git verify-commit, git verify-tag).

• Activer la signature par défaut pour vos commits :

  git config --global commit.gpgsign true

• Toujours signer les releases officielles avec git tag -s.

• Publier votre clé publique sur un serveur ou directement dans GitHub/GitLab pour permettre la vérification par vos collaborateurs.

• Intégrer la vérification automatique dans vos workflows CI/CD pour rejeter du code non signé.

Grâce aux SHAs, Git assure l’intégrité de l’historique. Grâce aux signatures GPG, il en garantit l’authenticité.

Deux mécanismes complémentaires qui font de Git un outil fiable, non seulement pour collaborer, mais aussi pour sécuriser la chaîne logicielle.

🎁 Je propose des séances de coaching gratuites de 30 minutes pour aider les créateurs comme vous à automatiser leurs processus et à gagner du temps ⏱️

👉 Réservez votre séance gratuite ici : https://www.bonzai.pro/matyo91/lp/4471/je-taide-a-automatiser-tes-process

Merci de votre lecture ! Créons ensemble des workflows intelligents, rapides et automatisés 💻⚡