서명된 커밋
커밋에 암호화 서명을 추가하면 커밋이 위조된 것이 아닌 지 확인하는 추가적인 보증을 제공합니다. GitLab이 공개 GPG 키로 커밋 작성자의 정체성을 확인할 수 있다면, 해당 커밋은 GitLab UI에서 검증됨(Verified)으로 표시됩니다. 그런 다음 프로젝트의 푸시 규칙을 구성하여 GPG로 서명되지 않은 개별 커밋을 거부하거나, 확인되지 않은 사용자로부터의 모든 커밋을 거부할 수 있습니다.
다음과 같은 방법으로 커밋을 서명할 수 있습니다.
커밋 확인
병합 요청이나 전체 프로젝트에 대해 커밋을 검토하여 그들이 서명되었는지 확인할 수 있습니다.
- 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
- 커밋을 확인하려면:
- 프로젝트의 경우 코드 > 커밋을 선택합니다.
- 병합 요청의 경우:
- 코드 > 병합 요청을 선택한 다음 병합 요청을 선택합니다.
- 커밋을 선택합니다.
-
확인하려는 커밋을 식별합니다. 서명된 커밋은 서명의 검증 상태에 따라 검증됨(Verified) 또는 검증되지 않음(Unverified) 뱃지가 표시됩니다. 서명되지 않은 커밋은 뱃지가 표시되지 않습니다:
-
커밋의 서명 세부 정보를 표시하려면 검증됨(Verified)을 선택하여 지문 또는 키 ID를 볼 수 있습니다:
또한 커밋 API를 사용하여 커밋의 서명을 확인할 수 있습니다.
웹 UI에서 만든 커밋 확인
GitLab은 웹 UI를 사용하여 생성된 커밋을 SSH로 서명합니다. 이러한 커밋을 로컬에서 확인하려면 SSH에 대한 단계를 따르고 다음 공개 키를 allowed_signers
파일에 추가하십시오:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIADOCCUoN3Q1UPQqUvp845fKy7haJH17qsSkVXzWXilW
.
noreply@gitlab.com namespaces="git" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIADOCCUoN3Q1UPQqUvp845fKy7haJH17qsSkVXzWXilW
문제 해결
서명된 커밋의 검증 문제 해결
GPG 키나 X.509 인증서로 서명된 커밋의 검증 프로세스는 여러 이유로 실패할 수 있습니다:
값 | 설명 | 가능한 해결책 |
---|---|---|
UNVERIFIED
| 커밋 서명이 유효하지 않음. | 유효한 서명으로 커밋에 서명합니다. |
SAME_USER_DIFFERENT_EMAIL
| 커밋에 서명하는 GPG 키에 커미터 이메일이 포함되어 있지 않지만, 커미터에 대한 다른 유효한 이메일이 포함되어 있음. | GPG 키를 사용하여 커밋을 수정하여 GPG 키와 일치하는 이메일 주소를 사용하거나, GPG 키에 이메일 주소를 포함하여 업데이트합니다. |
OTHER_USER
| 서명과 GPG 키는 유효하지만, 키가 서명하는 사용자가 커미터와 다를 경우. | 올바른 이메일 주소를 사용하여 커밋을 수정하거나, 사용자에게 연결된 GPG 키를 사용하여 커밋을 수정합니다. |
UNVERIFIED_KEY
| GPG 서명과 관련된 키에는 커미터와 연결된 확인된 이메일 주소가 없음. | GitLab 프로파일에 이메일을 추가하고 확인하거나, GPG 키를 업데이트하여 다른 커미터 이메일 주소를 사용하여 커밋을 수정합니다. |
UNKNOWN_KEY
| 이 커밋의 GPG 서명에 연결된 GPG 키는 GitLab에서 알 수 없음. | GitLab 프로필에 GPG 키를 추가합니다. |
MULTIPLE_SIGNATURES
| 커밋에 여러 GPG 또는 X.509 서명이 있음. | 커밋을 하나의 GPG 또는 X.509 서명만 사용하도록 수정합니다. |