GitHub affiche maintenant la signature GPG des commits et étiquettes

GPG fait sa grande entrée sur GitHub. La signature des commits et étiquettes (tags) est désormais affichée sur la plateforme d'hébergement de projets open source, a-t-elle annoncé hier. Le logiciel Git supporte déjà les signatures GPG, GitHub intègre simplement cette fonctionnalité. Il est d'ailleurs possible d'ajouter ses clés GPG sur son compte, via la page dédiée des paramètres, pour pouvoir l'utiliser sur le service.

Un commit ou une étiquette vérifié s'affichera simplement avec un tag « Verified » sur GitHub, qui permet donc aux utilisateurs de s'assurer de l'identité de la personne poussant la modification. Il est même possible d'automatiser la signature des éléments mis en ligne, même si ce n'est pas particulièrement recommandé. « Signer chaque commit est totalement stupide. Cela veut juste dire que vous l'automatisez, la signature a donc bien moins de valeur » jugeait ainsi Linus Torvalds dans un message en 2009.

Ce changement devrait notamment être utile pour les grandes sociétés et institutions, qui multiplient les incursions sur la plateforme. Que ce soit Amazon et son projet sur Raspberry Pi, les nouveautés et démonstrations de Microsoft (dont bientôt Xamarin) ou même le gouvernement français, elles exploitent de plus en plus le service américain, dans le but simple de se rapprocher des développeurs.

Cette nouveauté est, surtout, destinée à contenter les millions d'utilisateurs du service, qui ont largement exprimé leur mécontentement ces derniers mois. Pour rappel, une lettre ouverte soutenue par 1 300 signataires taclait le manque de réactivité et un certain hermétisme vis-à-vis de sa communauté. Des demandes spécifiques étaient formulées, comme améliorer le retour de problèmes ou le système de votes dans les discussions. Fin février, GitHub avait répondu en accédant à certaines demandes, en fournissant par exemple des modèles pour formater les retours utilisateurs.