VSCode安装GPG签名 代码安全VSCode验证提交者身份

VSCode安装GPG签名 代码安全VSCode验证提交者身份

开门见山，咱们先明确一个核心概念：VSCode本身并不“安装”GPG签名。它更像一个聪明的调度员，真正干活的，是你系统里安装的Git和GPG工具链。所以，问题的关键不在于VSCode，而在于如何配置好Git的GPG提交参数，并确保VSCode能顺利找到并调用你本地的git和gpg环境。这事儿没配好，签名失败就是家常便饭。

确认 Git 正在使用你手动安装的版本

很多朋友踩的第一个坑，就是路径混乱。VSCode内置的终端默认以非登录shell启动，这常常导致gpg-agent没加载，或者gpg命令压根找不到。典型症状就是：你在系统终端里运行git commit -S一切正常，但回到VSCode的Source Control面板点击提交，却报错error: gpg failed to sign the data，或者干脆静默失败，毫无痕迹。

怎么破？你得先确保VSCode找对了“人”。

• 打开VSCode的集成终端，运行which git。看看输出是不是你期望的路径，比如macOS上的/usr/local/bin/git，或者Ubuntu上的/usr/bin/git。要小心那些“非主流”路径，比如/snap/bin/git，或者是系统自带的陈旧版本（像Ubuntu 20.04自带的Git 2.25）。
• 接着，在VSCode设置里搜索git.path，手动填入你刚才确认的正确Git路径。如果这里留空，VSCode可能会回退到某个不可靠的内置或系统路径，那可就前功尽弃了。
• 做完这一步，务必重启VSCode。只改设置不重启，git.path的配置很可能不会生效。

让 VSCode 终端加载 gpg-agent

路径对了，环境也得跟上。在Ubuntu或macOS上，gpg-agent通常只在登录shell中自动启动。而VSCode的终端环境是独立的，没有继承这个设置，结果就是git commit -S时卡住，或者提示No pinentry。

解决办法是主动出击，确保环境变量就位。

• 首先，在VSCode终端里手动执行一次：gpgconf --launch gpg-agent。这个命令会显式启动agent，并设置好关键的GPG_AGENT_INFO环境变量。
• 当然，我们不想每次都手动操作。一劳永逸的方法是，把下面这段脚本加到你的shell配置文件里（比如~/.zshrc或~/.bashrc）：

if [ -z "$GPG_AGENT_INFO" ]; then
  export GPG_TTY=$(tty)
  gpgconf --launch gpg-agent
  export GPG_AGENT_INFO
fi

• 保存文件后，要么重新打开一个终端，要么运行source ~/.zshrc让配置生效。最后，用echo $GPG_AGENT_INFO验证一下，有输出就说明环境变量设置成功了。

检查并设置 Git 的 signingkey 和 gpg.program

环境准备好了，现在得告诉Git具体怎么签名。它需要知道两件事：用哪把密钥（signingkey），以及调用哪个gpg程序（gpg.program）。不同系统下，gpg的安装路径可能天差地别，填错一个字母，签名就会失败。

• 先找到你的密钥ID。运行gpg --list-secret-keys --keyid-format LONG，找到以sec开头的那一行，末尾那串长长的字符（例如ABC1234567890DEF...）就是你的user.signingkey。
• 再确认gpg程序的路径。运行which gpg，记下输出的完整路径。
• 最后，一次性完成全局配置：

git config --global user.signingkey ABC1234567890DEF...
git config --global commit.gpgsign true
git config --global gpg.program /usr/bin/gpg

• 这里有两个细节需要注意：第一，现在统一使用gpg命令即可，gpg2已经弃用了；第二，一定要加上--global参数，因为VSCode的提交操作默认读取的是Git的全局配置，而不是单个仓库的配置。

验证签名是否真被 VSCode 使用

配置做完，别急着庆祝。签名成功与否，不能只看GitHub或GitLab页面上那个“Verified”标签。你得确认，在VSCode里点击提交的那一刻，签名机制确实被触发了。

• 提交前，先在VSCode终端里做个快速检查：运行git config --get user.signingkey和git config --get commit.gpgsign，确保返回的值都是你刚刚设置的。
• 提交后，立刻运行git log --show-signature -n 1查看最新一条提交的签名状态。如果输出里包含Good signature from ...，那才是真正的成功。如果看到Can‘t check signature: No public key之类的，说明验证环节还有问题。
• 还有一种情况：本地签名成功了，但GitHub上就是不显示“Verified”。这通常是因为你的GPG公钥没有上传到GitHub。解决方法是，运行gpg --armor --export ABC123...（将ABC123...替换为你的密钥ID）导出公钥，然后复制输出内容，粘贴到GitHub的Settings → SSH and GPG keys页面中。

最后，分享一个最容易被忽略的“坑”：VSCode启动时，并不会自动执行你shell配置文件（比如~/.zshrc）里那些启动gpg-agent的脚本。它依赖的是终端首次加载时捕获的环境快照。所以，每次修改完相关配置后，最稳妥的做法是彻底关闭所有VSCode窗口，再重新打开，仅仅“Reload Window”可能是不够的。