コミットに署名をつけたくなった

GitHub Actionsのtj-actions/changed-filesに不正なコードが混入された問題で、コードを見るとBase64文字列をデコードしてシェルに渡しているので、なんでこんなコードをマージしたのか疑問だった。Pretty sure this repo got hacked and if you use this it will send your secrets to a hackerのコメントによると、tj-actions-bot のPATが漏洩していて、Renovateが作ったPRのコミットをbotの権限で更新した。そしてPATが強い権限を持っていたので、タグの内容を不正なコミットに向けた、ということらしい。

だからPATが漏れないように管理するのが第一で、とはいえ絶対はないから漏れても影響が小さくなるように最小の権限だけ持たせるのが対策となる。可能ならGitHubでコミットの署名を強制するを有効にできればより安全だろう。このオプションを有効にする目的は、すべての人に署名を押し付けたいわけじゃなく、Verifiedじゃないコミットに注意を向けるためなので署名できない人のコミットは Co-authored-by で代わりに署名してもいいと思う。

あと、自分自身がコミットにVerifiedを付けていなかったので、Gitのコミットに本人確認の署名をするで対応した。