GPGによるコミットの署名
Gitのコミット時には、GPG(GnuPG)というものを使用して、公開鍵アルゴリズムを使った署名を行うことができます。
ヒント
この手順は完全に任意です。このページの内容を理解していなくても、GitおよびGitHubでの操作は問題なく行えます。
Gitは初期設定時にメールアドレスなどを設定しますが、このメールアドレスは特に認証などがいらないため、勝手に他人のメールアドレスを使って―つまり他人になりすまして―コードを改変することもできてしまいます。GPGを使うと、GitHubのアカウントと紐づくため「確実にこのGitHubアカウントの人が編集をした」ということが確認できるようになります。
非公開リポジトリの場合では必須ではありませんが、特に公開のリポジトリでは可能な限り実施しておくべきものになります。
このページの手順を完了すると、各コミットに対して「Verified」がつきます。
インストールするアプリ
※Gitはすでに入っており、GitHubのアカウントもある前提で進めます。
GPG鍵の作成
以下の手順に従い、gpg鍵を作成します。
次に以下の手順に従い、コミットにGPG鍵を含めるようにします。
https://docs.github.com/ja/authentication/managing-commit-signature-verification/signing-commits
参考文献
上記の手順はいわば「公式ガイド」ですが、こちらの記事も参考になります。