<div dir="ltr">Actually, we don't use --sign for gpg, for signing. Instead we use git's signing feature, which invokes gpg --sign internally to sign <i>commits</i>. This way, the entire directory tree is signed, not just the contents of files. This prevents tampering with the overall structure of the repo.</div>