将 Github 上的提交标记为 Verified 认证签名

2021年3月28日,有身份不明人士入侵了PHP编程语言的官方Git服务器 http://git.php.net,并上传了未经授权的更新包,而包中源代码被插入了后门代码!!!
这两个恶意提交被推送到git.php.net服务器上的自托管 php-src 存储库中,使用的是编程语言的作者 Rasmus Lerdorf 和 Microsoft 的软件开发人员 Nikita Popov 的名字 Jetbrains

PHP官方发布紧急公告指出:

2021-03-28,两个恶意代码分支提交到了 php-src repo 上,使用的是内部人员的名字,目前内部不知道是如何发生,但是一切都指向了git.php.net 服务器可能被入侵的情况。
尽管目前正在调查,但是为了确保安全,我们已经停止了 git.php.net 服务器,之后会跳转到 Github 上的镜像存储库中。

引用ESET:Backdoor added to PHP source code in Git server breach | WeLiveSecurity
看到这里是不是很惊讶?,2亿多使用量的PHP服务器居然被黑了??,现已全面移至 Github 托管,术业有专攻不无道理

我们平时使用的 Github 是比较安全的,那么如何让自己的账户更加安全呢??
1、启用账户双重验证
2、Git提交使用 Verified 认证
双重验证相信大家都会,那么这篇文章就带你一起来使用 Verified 认证

一、生成 GPG 密钥

Github 在提交命令时并不会去验证邮箱的正确性, 也就是可以邮箱是可以伪造的 ,为了避免这种情况的出现,可以使用 Verified( 认证)。

①、安装GnuPG套件

②、打开 Git Bash

③、生成一个密钥(可在 Linux 控制台,Windows 下有 Cygwin64 等)

④、使用命令开始创建GPG 密钥

  1. 命令:gpg --full-generate-key
  2. Your selection? 选择RSA,这里默认是RAS那么回车即可
  3. What keysize do you want? RSA密钥长度,默认3072 回车
  4. Key is valid for? 过期时间,0为永不过期,输入0回车
  5. s this correct? 检查是否正确,正确输入Y继续下一步
  6. Real name: 用户名
  7. Email address: 邮箱,注意这里必须和Github主邮箱一致
  8. Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? 确认没问题后,输入O开始生成密钥
  9. 创建密码

添加新评论