fix: sécurité — remote SSH + vérification GPG à l'installation
- Remote origin passé en SSH (token retiré de l'URL) - make install dépend de make verify (vérifie la signature GPG du dernier tag) - Sans tag signé : avertissement non bloquant (bootstrap) - Avec tag signé et clé invalide : erreur bloquante - DEVELOPER.md : instructions pour signer les tags de release - README.md : mention de l'import de clé GPG Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
+18
-1
@@ -46,4 +46,21 @@ Chaque script doit avoir une fiche `local/share/doc/scripts-bash/<nom>.1.md` ave
|
||||
|
||||
### Remote Git
|
||||
|
||||
Le remote `origin` utilise HTTPS avec le token Gitea intégré dans l'URL (`https://user:TOKEN@git.abonnel.fr/...`).
|
||||
Le remote `origin` utilise SSH (`git@git.abonnel.fr:cedricAbonnel/scripts-bash.git`).
|
||||
Les credentials ne transitent jamais dans l'URL.
|
||||
|
||||
### Signature GPG des releases
|
||||
|
||||
`make install` vérifie la signature GPG du dernier tag avant d'installer.
|
||||
Chaque release doit être taguée et signée :
|
||||
|
||||
```bash
|
||||
git tag -s v1.x -m "Release v1.x"
|
||||
git push origin v1.x
|
||||
```
|
||||
|
||||
Pour que les utilisateurs puissent vérifier, ils doivent importer la clé publique du développeur :
|
||||
|
||||
```bash
|
||||
gpg --keyserver keys.openpgp.org --recv-keys <ID_CLÉ>
|
||||
```
|
||||
|
||||
Reference in New Issue
Block a user