التحقق من هوية الكود

غالباً ما تتضمن هجمات سلسلة التوريد (Supply Chain) انتحال شخصية المطورين. تتيح لك أداة GPG توقيع التزاماتك (commits) في Git.

الخطوات:

1. توليد مفتاح GPG: gpg --full-generate-key.
2. إضافة المفتاح العام إلى GitHub/GitLab.
3. ضبط Git لتوقيع الالتزامات: git config --global commit.gpgsign true.

الآن، سيحمل كل commit شارة "Verified"، مما يثبت أنه صادر منك شخصياً.