1. 導入:なぜ今、コミット署名が必要なのか
現代のソフトウェア開発において、Gitのコミット履歴は信頼の基盤です。しかし、Gitのデフォルト設定では「誰でも容易に他人の名前でコミットを作成」できてしまいます。これは、悪意のあるコードの混入や、開発者のなりすましによるサプライチェーン攻撃のリスクを招きます。組織として「Verified(検証済み)」バッジのないコミットを排除することは、CI/CDパイプラインの信頼性を担保し、コードの真正性を証明するための不可欠なセキュリティ対策です。
2. 基礎知識:コミット署名の仕組み
コミット署名とは、開発者の秘密鍵を使用してコミットのハッシュ値を暗号化し、署名を作成する仕組みです。GitHubなどのプラットフォームは、登録された公開鍵とこの署名を照合することで、そのコミットが間違いなく本人によって作成されたものであることを保証します。
・GPG署名:歴史ある標準的な暗号化方式。
・SSH署名:Git 2.34以降でサポートされた、SSH鍵を活用した軽量な署名方式。近年は管理コストの低いSSH署名が推奨される傾向にあります。
3. 実装・解決策:署名の強制と検証
署名を強制するには、クライアント側の設定とサーバー(GitHub)側の設定の両輪が必要です。
1. クライアント側:Git設定で「常に署名する」オプションを有効化。
2. GitHub側:リポジトリの「Branch Protection Rules」にて「Require signed commits」を有効化。これにより、署名のないコミットはpush時にサーバー側で拒否されます。
4. サンプルプログラム:署名設定の自動化スクリプト
以下のコマンド群をターミナルで実行することで、ローカル環境の署名設定を完了できます。まずはSSH鍵をGitHubに登録した状態で実施してください。
1. 使用するSSH鍵の公開鍵パスを確認し、Gitに署名用として登録する
git config –global gpg.format ssh
git config –global user.signingkey ~/.ssh/id_ed25519.pub
2. 全てのコミットで自動的に署名を行う設定を有効化
git config –global commit.gpgsign true
3. 設定の確認(出力がtrueであれば成功)
git config –get commit.gpgsign
4. (応用) 特定のリポジトリだけで署名を強制したい場合
対象リポジトリのディレクトリで実行
git config commit.gpgsign true
5. 応用・注意点:現場での運用Tips
・キーの管理:秘密鍵の紛失はコミットの正当性証明ができなくなることを意味します。鍵のローテーション計画を立てておきましょう。
・CI/CDとの兼ね合い:自動コミット(自動化されたリリースノート生成など)を行うBOTアカウントにも、専用の署名鍵を持たせて署名させる設定が必要です。署名漏れがあると、CI/CD自体がブランチ保護ルールに抵触して失敗するため注意してください。
・開発体験(DX)への配慮:署名設定を忘れるとpush時にエラーが出て開発者が混乱します。新規参画者向けのオンボーディングドキュメントに、本記事の設定手順を必ず組み込んでおくことを推奨します。
コメント