-
1. Erste Schritte
- 1.1 Über Versionskontrolle
- 1.2 Eine kurze Geschichte von Git
- 1.3 Was ist Git?
- 1.4 Die Kommandozeile
- 1.5 Git installieren
- 1.6 Erstmalige Git-Einrichtung
- 1.7 Hilfe bekommen
- 1.8 Zusammenfassung
-
2. Git Grundlagen
-
3. Git Branching
- 3.1 Branches im Überblick
- 3.2 Grundlegendes Branching und Merging
- 3.3 Branch-Management
- 3.4 Branching-Workflows
- 3.5 Remote-Branches
- 3.6 Rebasing
- 3.7 Zusammenfassung
-
4. Git auf dem Server
- 4.1 Die Protokolle
- 4.2 Git auf einem Server einrichten
- 4.3 Generieren Ihres SSH-Public-Keys
- 4.4 Einrichten des Servers
- 4.5 Git Daemon
- 4.6 Smart HTTP
- 4.7 GitWeb
- 4.8 GitLab
- 4.9 Drittanbieter-Hosting-Optionen
- 4.10 Zusammenfassung
-
5. Verteiltes Git
-
6. GitHub
-
7. Git-Werkzeuge
- 7.1 Revisionsauswahl
- 7.2 Interaktives Staging
- 7.3 Stashing und Bereinigen
- 7.4 Ihre Arbeit signieren
- 7.5 Suchen
- 7.6 Historie umschreiben
- 7.7 Reset entmystifiziert
- 7.8 Fortgeschrittenes Merging
- 7.9 Rerere
- 7.10 Debugging mit Git
- 7.11 Submodule
- 7.12 Bundling
- 7.13 Ersetzen
- 7.14 Credential-Speicher
- 7.15 Zusammenfassung
-
8. Git anpassen
-
9. Git und andere Systeme
- 9.1 Git als Client
- 9.2 Migration zu Git
- 9.3 Zusammenfassung
-
10. Git-Interna
- 10.1 Plumbing und Porcelain
- 10.2 Git-Objekte
- 10.3 Git-Referenzen
- 10.4 Packfiles
- 10.5 Die Refspec
- 10.6 Übertragungsprotokolle
- 10.7 Wartung und Datenwiederherstellung
- 10.8 Umgebungsvariablen
- 10.9 Zusammenfassung
-
Anhang A: Git in anderen Umgebungen
- A1.1 Grafische Oberflächen
- A1.2 Git in Visual Studio
- A1.3 Git in Visual Studio Code
- A1.4 Git in IntelliJ / PyCharm / WebStorm / PhpStorm / RubyMine
- A1.5 Git in Sublime Text
- A1.6 Git in Bash
- A1.7 Git in Zsh
- A1.8 Git in PowerShell
- A1.9 Zusammenfassung
-
Anhang B: Git in Ihre Anwendungen einbetten
- A2.1 Kommandozeilen-Git
- A2.2 Libgit2
- A2.3 JGit
- A2.4 go-git
- A2.5 Dulwich
-
Anhang C: Git-Befehle
- A3.1 Einrichtung und Konfiguration
- A3.2 Projekte abrufen und erstellen
- A3.3 Grundlegendes Snapshotting
- A3.4 Branching und Merging
- A3.5 Projekte teilen und aktualisieren
- A3.6 Inspektion und Vergleich
- A3.7 Debugging
- A3.8 Patching
- A3.9 E-Mail
- A3.10 Externe Systeme
- A3.11 Administration
- A3.12 Plumbing-Befehle
7.4 Git-Tools - Ihre Arbeit signieren
Ihre Arbeit signieren
Git ist kryptografisch sicher, aber nicht unfehlbar. Wenn Sie Arbeit von anderen im Internet übernehmen und überprüfen möchten, ob Commits tatsächlich von einer vertrauenswürdigen Quelle stammen, bietet Git verschiedene Möglichkeiten, Ihre Arbeit mit GPG zu signieren und zu überprüfen.
GPG-Einführung
Zunächst müssen Sie GPG konfigurieren und Ihren persönlichen Schlüssel installieren, wenn Sie etwas signieren möchten.
$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub 2048R/0A46826A 2014-06-04
uid Scott Chacon (Git signing key) <schacon@gmail.com>
sub 2048R/874529A9 2014-06-04Wenn Sie keinen Schlüssel installiert haben, können Sie einen mit gpg --gen-key generieren.
$ gpg --gen-keySobald Sie einen privaten Schlüssel zum Signieren haben, können Sie Git so konfigurieren, dass es diesen zum Signieren von Dingen verwendet, indem Sie die Konfigurationseinstellung user.signingkey setzen.
$ git config --global user.signingkey 0A46826A!Jetzt verwendet Git standardmäßig Ihren Schlüssel, um Tags und Commits zu signieren, wenn Sie dies wünschen.
Tags signieren
Wenn Sie einen GPG-Privatschlüssel eingerichtet haben, können Sie ihn nun zum Signieren neuer Tags verwenden. Alles, was Sie tun müssen, ist -s anstelle von -a zu verwenden.
$ git tag -s v1.5 -m 'my signed 1.5 tag'
You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04Wenn Sie git show für diesen Tag ausführen, sehen Sie Ihre GPG-Signatur daran angehängt.
$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date: Sat May 3 20:29:41 2014 -0700
my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----
commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date: Mon Mar 17 21:52:11 2008 -0700
Change version numberTags überprüfen
Um einen signierten Tag zu überprüfen, verwenden Sie git tag -v <tag-name>. Dieser Befehl verwendet GPG, um die Signatur zu überprüfen. Sie benötigen den öffentlichen Schlüssel des Unterzeichners in Ihrem Schlüsselbund, damit dies ordnungsgemäß funktioniert.
$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700
GIT 1.4.2.1
Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg: aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9AWenn Sie den öffentlichen Schlüssel des Unterzeichners nicht haben, erhalten Sie stattdessen etwas wie dies.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'Commits signieren
In neueren Git-Versionen (v1.7.9 und höher) können Sie jetzt auch einzelne Commits signieren. Wenn Sie daran interessiert sind, Commits direkt anstelle von nur Tags zu signieren, müssen Sie lediglich -S zu Ihrem git commit-Befehl hinzufügen.
$ git commit -a -S -m 'Signed commit'
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
[master 5c3386c] Signed commit
4 files changed, 4 insertions(+), 24 deletions(-)
rewrite Rakefile (100%)
create mode 100644 lib/git.rbUm diese Signaturen anzuzeigen und zu überprüfen, gibt es auch die Option --show-signature für git log.
$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun 4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date: Wed Jun 4 19:49:17 2014 -0700
Signed commitZusätzlich können Sie git log konfigurieren, um gefundene Signaturen zu überprüfen und sie in seiner Ausgabe mit dem Format %G? aufzulisten.
$ git log --pretty="format:%h %G? %aN %s"
5c3386c G Scott Chacon Signed commit
ca82a6d N Scott Chacon Change the version number
085bb3b N Scott Chacon Remove unnecessary test code
a11bef0 N Scott Chacon Initial commitHier sehen wir, dass nur der neueste Commit signiert und gültig ist und die vorherigen Commits nicht.
In Git 1.8.3 und höher können git merge und git pull angewiesen werden, beim Mergen eines Commits, der keine vertrauenswürdige GPG-Signatur trägt, zu prüfen und abzulehnen, mit dem Befehl --verify-signatures.
Wenn Sie diese Option beim Mergen eines Branches verwenden und dieser Commits enthält, die nicht signiert und gültig sind, funktioniert der Merge nicht.
$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.Wenn der Merge nur gültig signierte Commits enthält, zeigt der Merge-Befehl alle geprüften Signaturen an und fährt dann mit dem Merge fort.
$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
README | 2 ++
1 file changed, 2 insertions(+)Sie können auch die Option -S mit dem Befehl git merge verwenden, um den resultierenden Merge-Commit selbst zu signieren. Das folgende Beispiel überprüft sowohl, ob jeder Commit im zu mergenden Branch signiert ist, als auch signiert den resultierenden Merge-Commit.
$ git merge --verify-signatures -S signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
Merge made by the 'recursive' strategy.
README | 2 ++
1 file changed, 2 insertions(+)Jeder muss unterschreiben
Das Signieren von Tags und Commits ist großartig, aber wenn Sie sich entscheiden, dies in Ihrem normalen Workflow zu verwenden, müssen Sie sicherstellen, dass jeder in Ihrem Team versteht, wie das geht. Dies kann erreicht werden, indem Sie jeden, der mit dem Repository arbeitet, bitten, git config --local commit.gpgsign true auszuführen, um alle seine Commits im Repository standardmäßig signieren zu lassen. Andernfalls werden Sie viel Zeit damit verbringen, Leuten zu helfen, ihre Commits mit signierten Versionen neu zu schreiben. Stellen Sie sicher, dass Sie GPG und die Vorteile des Signierens von Dingen verstehen, bevor Sie dies als Teil Ihres Standard-Workflows einführen.