GitHub vient d'annoncer l'affichage des commits et étiquettes signés avec GPG, dans le but logique de pouvoir certifier l'identité de l'émetteur. Le système de signature, supporté par Git, fait donc son entrée sur la principale plateforme l'exploitant.
GPG fait sa grande entrée sur GitHub. La signature des commits et étiquettes (tags) est désormais affichée sur la plateforme d'hébergement de projets open source, a-t-elle annoncé hier. Le logiciel Git supporte déjà les signatures GPG, GitHub intègre simplement cette fonctionnalité. Il est d'ailleurs possible d'ajouter ses clés GPG sur son compte, via la page dédiée des paramètres, pour pouvoir l'utiliser sur le service.
Un commit ou une étiquette vérifié s'affichera simplement avec un tag « Verified » sur GitHub, qui permet donc aux utilisateurs de s'assurer de l'identité de la personne poussant la modification. Il est même possible d'automatiser la signature des éléments mis en ligne, même si ce n'est pas particulièrement recommandé. « Signer chaque commit est totalement stupide. Cela veut juste dire que vous l'automatisez, la signature a donc bien moins de valeur » jugeait ainsi Linus Torvalds dans un message en 2009.
Ce changement devrait notamment être utile pour les grandes sociétés et institutions, qui multiplient les incursions sur la plateforme. Que ce soit Amazon et son projet sur Raspberry Pi, les nouveautés et démonstrations de Microsoft (dont bientôt Xamarin) ou même le gouvernement français, elles exploitent de plus en plus le service américain, dans le but simple de se rapprocher des développeurs.
Cette nouveauté est, surtout, destinée à contenter les millions d'utilisateurs du service, qui ont largement exprimé leur mécontentement ces derniers mois. Pour rappel, une lettre ouverte soutenue par 1 300 signataires taclait le manque de réactivité et un certain hermétisme vis-à-vis de sa communauté. Des demandes spécifiques étaient formulées, comme améliorer le retour de problèmes ou le système de votes dans les discussions. Fin février, GitHub avait répondu en accédant à certaines demandes, en fournissant par exemple des modèles pour formater les retours utilisateurs.
Commentaires (3)
#1
en passphrase je met azerty1234
" />
#2
Bah tient justement je lisais un document sur les mots de passe les plus utilisés pour les 10 logins les plus courants et le fameux “P@ssw0rd” n’est que cinquième, les leaders sont “x”, “St@rt123” et “Zz”.
" />
Plus étonnant : le mot de passe “alex” plus utilisé que P@ssw0rd
#3
Il y a marqué “Verified” mais c’est vérifié par qui ?
Parce que n’importe qui peut généré une clef gpg avec n’importe quoi dessus. Ce qui a de la valeur c’est le réseau de confiance.
Pour qu’il y ai marqué “Verified” il faut que je donne ma clef (publique) à github et il ne met “Verified” que pour les gens dans mon réseau de confiance ?