<p dir="ltr">No, but releases, aka tags, are.</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, Feb 23, 2016, 9:06 AM Jason A. Donenfeld <<a href="mailto:Jason@zx2c4.com">Jason@zx2c4.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Feb 23, 2016 at 2:53 PM, Brian Minton <<a href="mailto:brian@minton.name" target="_blank">brian@minton.name</a>> wrote:<br>
> Certainly got can sign individual tags with an OpenPGP key. Each commit is<br>
> also hashed and the hashes are known. If you sign every commit, or at least<br>
> every release, the code can't be tampered with. This is the workflow of, for<br>
> instance, the Linux kernel.<br>
<br>
False. Commits in Linux development are not routinely signed.<br>
</blockquote></div>