Dnes jsem v komunitě viděl pověst, která říká, že Linus Torvalds se podílel na projektu $zailgo a přidal odkaz na github https://github.com/notwedtm/zailgo.

Tato zpráva mě skutečně překvapila, kdo je Linus Torvalds? Podívejme se na jeho představení na wikipedii:

Linus Torvalds je autorem linuxového jádra, open source projekt git je také jeho, jak by takový starobylý gigant mohl přijít do web3 a zapojit se do malého projektu, je to opravdu nepochopitelné, pravda je vždy jen jedna, pojďme ji najít.

Nejprve otevřeme "commit" a podíváme se, co gigant odeslal:

Po otevření zjistíme, že stav tohoto commitu je "Neověřeno", což znamená, že toto odeslání nebylo ověřeno.

Tím, že klikneme na tento stav, také vidíme upozornění, že Linus Torvalds nepoužil svůj veřejný klíč k podepsání.

Jak je možné takové odeslání falšovat? Je to vlastně velmi jednoduché, github zaznamenává všechny informace odesílatele, stačí pole GIT_AUTHOR_NAME, GIT_AUTHOR_EMAIL atd., můžeme tedy falšovat tyto informace?

Pojďme udělat experiment, nastavíme několik relevantních proměnných prostředí, to vše jsou veřejné informace Linuse Torvaldse:

export GIT_AUTHOR_NAME="Linus Torvalds"

export GIT_AUTHOR_EMAIL="torvalds@linux-foundation.org"

export GIT_COMMITTER_NAME="Linus Torvalds"

export GIT_COMMITTER_EMAIL="torvalds@linux-foundation.org"

Pak náhodně změníme v rámci zdrojového souboru nějaký obsah a poté commit, podívejme se, co je v logu:

Ten nejhornější záznam je moje testovací informace, je vidět, že v logu se autorova informace změnila na Linus Torvalds. Pokud bych chtěl odeslat, na githubu by se zobrazilo, že se na tomto projektu podílel Linus Torvalds. Druhá informace je naše aktuální falešná informace na githubu.

Jak tedy posoudit takové falešné odeslání? Existuje několik metod:

1. Otevřeme commit a podíváme se, jaký je aktuální stav odeslání. Pokud jde o skutečné odeslání, nebude tam nic, pokud je to falšované, objeví se nahoře "Neověřeno".

2. Můžeme také navštívit github stránku Linuse Torvaldse a podívat se, jaké projekty má v aktivitě odeslání. Jeho github je https://github.com/torvalds, v "Contribution activity" můžeme vidět, že se na projektu zailgo nepodílel.

3. Správci projektu mohou vidět podrobný záznam odeslání, v tomto okamžiku je možné odhalit informace falšovatele, ale my nemáme správní oprávnění.

Projekt zailgo je dobrý projekt, falešné informace pro propagaci se nedají tolerovat, měli bychom si dávat pozor, abychom se nenechali oklamat těmito falešnými zprávami.