Vérification de l'identité du code

Les attaques sur la chaîne d'approvisionnement (supply chain) impliquent souvent l'usurpation d'identité de développeurs. GPG (GNU Privacy Guard) vous permet de signer vos commits Git.

Étapes :

1. Générer une clé GPG : gpg --full-generate-key.
2. Ajouter la clé publique sur GitHub/GitLab.
3. Configurer Git pour signer les commits : git config --global commit.gpgsign true.

Désormais, chaque commit aura un badge « Vérifié », prouvant qu'il provient bien de vous.