Git ist eine dezentrale Versionsverwaltung, die darauf ausgelegt ist Änderungen zwischen unterschiedlichen Repositories zu synchronisieren. Aus diesem Grund sind Authentifizierung und Autorisierung komplett von den Autorinformationen der Commits und Tags unabhängig. Um Authentizität sicherzustellen kann ein Autor diese mit seinem PGP-Key signieren.

Dieser Talk deckt alle Aspekte von Signaturen in Git und GitHub ab:

- Wie GitHub Authorinformation von Commits und Tags validiert
- Erstellen und Verwalten von PGP-Schlüsseln
- Sicherheit der PGP-Schlüssel
- Lokales signieren von Tags und Commits
- Signieren von Tags und Commits in GitHub Codespaces
- Signaturen in geschützen Branches erzwingen
- Der Vigilant-Mode
- Signing off commits

Von großen Open-Source Projekten bis hin zu kleinen Teams, die in privaten Repositories arbeiten – der Kontext für die Arbeit mit Git ist sehr vielseitig. Best-Practices für das Signieren von Commits hängen aber sehr von diesem Kontext und dem verwendeten Workflow ab. Der Fokus dieses Talks liegt darauf zu erklären, in welchen Szenarien Signaturen einen Mehrwert bringen und die Sicherheit erhöhen und in welchen sie Teams einfach nur ausbremsen.