Tout le monde peut utiliser la config git user.name et user.email.

Afin de vérifier ces commits, ils faut indiquer à Git de les signer

Générer une clé
ssh-keygen -t ed25519 -C "votre@email.com"

Puis instruire à git de l'utiliser:

git config --global gpg.format ssh
git config --global user.signingkey ~/.ssh/id_ed25519.pub
git config --global commit.gpgsign true
git config --global tag.gpgsign true

Puis ajouter cette clé de signature dans la forge logicielle.

Pour GitLab: https://docs.gitlab.com/user/project/repository/signed_commits/

Github place ce bug comme "ineligible", puisque cela ne donne pas accès aux repos ni privilèges, donc ce n'est pas une faille au sens strict.
Cepeeendaaaaaant, l'identité affichée influence les décisions; et il incombe à l'utilisateur de vérifier les signatures.

Source: https://infosecwriteups.com/the-curious-case-of-github-commit-spoofing-a-lighthearted-exploration-54ddbaaaf40a?gi=861657732a48