GitHub に GPG 公開鍵を登録して Verified マークを表示しようとしたけど今回のユースケースには向いてないので諦めた話
結局諦めた話になるので Qiita にも書くほどでもないが、それにしては参考URLがたくさん出てきたり、若干の考察もあるのでGistの方に載せます。
3行でまとめ:
- Windows10, VSCode 1.43.1, Git for Windows 2.25.1 で GPG鍵を生成してcommit時に署名し、GitHubのcommit履歴で Verified を表示できた。
- GPG鍵は失効対応も含め運用管理で利用者側にリテラシーが求められる = コストが大きい。
- 複数人のcommitを束ねてpushするような規模であれば、そのcommitが本当に本人によるものかを確認できる署名付きcommitのメリットがコストを上回る。commitする人 = pushする人のような小規模であればコストのほうが大きくなる。今回は後者に該当するため、やらないことにして諦めた。