マージコミットに verified バッジがつくようになって久しいけれど、その意味はよく考えていなかった。ふと思い立って調べてみて、第三者になりすましてコミットするのがあまりに簡単であることを知った。

これまでの職場ではコミットに署名する文化に遭遇したことはなかった。それは信頼の証と肯定的に取ることもできるが、知ってしまったうえで現状維持を選ぶのはなんとなく足元が揺らいでいるような気がして、まずは自分だけでも実践してみようとおもう。

GitHub のドキュメント1に沿ってやるだけで、簡単にできる。ここで how-to を書けば技術ポストになるところだが、やりかたはすべてドキュメントに書いてあるし、署名のメカニズムに深入りできるほど勉強もしていないので、特に語れることがなく、日記の体裁になる。

鍵の管理は GPG Suite2 を使った。