Доклад «Keyless commit sign. Как подписывать коммиты без использования секретного ключа»

Как подделать коммит от Линуса Торвальдса и остаться незамеченным? В докладе представлен реальный кейс, в котором спикер успешно «подписал» код от имени создателя Linux. Узнайте, зачем нужна подпись коммитов, в чём слабость GPG и X.509 и как работает современный подход без ключей с git-sign, OIDC и прозрачным аудитом через Rekor. Идеально подходит для DevOps, инженеров по безопасности и всех, кто хочет защитить код от подделки и обеспечить невозможность отказа от авторства. 00:01:32 — Почему важна подпись под коммитами: пример подделки от имени Линуса Торвальдса 00:02:30 — Проблема доверия к электронной почте в Git 00:03:20 — GPG: классическая подпись, плюсы и минусы 00:04:24 — X.509 и роль центра сертификации 00:05:17 — Подпись без ключа: как работают git-sign, OIDC и Fulcio 00:06:40 — Роль Rekor: неизменяемый журнал всех подписей 00:08:08 — Проверка подписей в GitLab и отсутствие превентивной защиты 00:10:07 — Сравнение подходов: удобство, безопасность, внедрение 00:17:20 — Рекомендации: когда использовать GPG, X.509 и git-sign