Signierte Commits und Artefakte: Wann sich das lohnt
Signaturen klingen nach Aufwand, der sich nur für große Konzerne rechnet. Das stimmt so nicht. Ein signierter Commit oder ein signiertes Build-Artefakt beantwortet eine einfache Frage: Stammt dieser Code oder dieses Paket wirklich von dem, der behauptet es gebaut zu haben? Wer das nicht belegen kann, vertraut blind. Die eigentliche Frage ist nicht ob, sondern wo sich der Aufwand zuerst…










