Hoje, vi um rumor na comunidade dizendo que Linus Torvalds participou do projeto $zailgo, e trouxe o link do github https://github.com/notwedtm/zailgo
Fiquei bastante surpreso ao ver esta mensagem, quem é Linus Torvalds? Vamos dar uma olhada na apresentação na wiki:
Linus Torvalds é o autor do núcleo linux, e o projeto de código aberto git também é dele. Como esse antigo gigante viria a participar de um pequeno projeto web3, é realmente desconcertante; a verdade é sempre única, vamos descobri-la.
Primeiro, vamos clicar em 'commit' e ver o que o gigante submeteu:
Ao abrir, você verá que o estado deste commit é 'Unverified', indicando que esta submissão não foi verificada.
Ao clicar nesse estado, também podemos ver a dica de que Linus Torvalds não assinou com sua chave pública.
Como esse tipo de submissão é falsificado? Na verdade, é bem simples; a única coisa que o github precisa registrar sobre o autor da submissão são campos como GIT_AUTHOR_NAME e GIT_AUTHOR_EMAIL, então podemos falsificar essas informações, certo?
Vamos fazer um experimento, definindo algumas variáveis de ambiente relevantes, todas são informações públicas de Linus Torvalds:
export GIT_AUTHOR_NAME="Linus Torvalds"
export GIT_AUTHOR_EMAIL="torvalds@linux-foundation.org"
export GIT_COMMITTER_NAME="Linus Torvalds"
export GIT_COMMITTER_EMAIL="torvalds@linux-foundation.org"
Então, faremos algumas alterações aleatórias no arquivo de origem e depois faremos o commit para ver o que aparece no log:
A primeira informação é o que eu testei, e pode-se notar que a informação do autor no log mudou para Linus Torvalds; nesse momento, se eu submetesse, no github apareceria que Linus Torvalds participou deste projeto. A segunda informação é a que atualmente vemos no github como informação falsificada.
Então, como podemos julgar esse tipo de submissão falsificada? Existem algumas maneiras:
1. Vamos clicar em commit e ver qual é o estado da submissão atual. Se for uma submissão real, não haverá nada no estado; se for falsificada, aparecerá 'Unverified' acima.
2. Também podemos ir à página do github de Linus Torvalds e ver quais projetos ele teve atividade de submissão. O github dele é https://github.com/torvalds, e na 'Atividade de contribuição' podemos ver que ele não participou do zailgo.
3. Os administradores do projeto podem ver o log de submissões detalhado; neste momento, as informações do falsificador também podem ser descobertas, mas não temos permissões de administração.
O projeto zailgo é um bom projeto, e falsificar informações para promoção não é aceitável; todos também devem ter cuidado para não serem enganados por essas notícias falsas.