Commits zu signen ist irgendwie ein Rabbithole ganz eigener Art. PGP ist am sterben, kann dafür Keys rotieren und hat(te) das Web of Trust. SSH keys ist der (gefühlt) neue Shit, aber wie rotiere ich da keys? BSD macht was Eigenes und meist liegen die richtig. Dann bleibt noch immer die Frage nach dem initial Trust und (für mich) die Enterprise Tauglichkeit. Zumindest hat 1Password einiges an Automatisierung für SSH an Bord. Klick - Key erzeugt, Klick - .ssh/config angepasst, Klick - .gitconfig angepasst um Commits mit dem SSH Key zu signen. Research Stoff für Tage.
Update: aus Enterprise Sicht wäre irgendwas mit Zertifikaten erstrebenswert. Seufz