Hoje vi na comunidade um boato dizendo que Linus Torvalds participou do projeto $zailgo, e trouxe um link do github https://github.com/notwedtm/zailgo. Fiquei bastante surpreso ao ver essa notícia, quem é Linus Torvalds? Vamos dar uma olhada na apresentação da wiki: Linus Torvalds é o autor do núcleo linux, o projeto de código aberto git também é dele, como esse antigo deus poderia participar de um pequeno projeto web3, é realmente desconcertante, a verdade é sempre uma só, vamos descobrir. Primeiro, vamos clicar em “commit” e ver o que o deus enviou: ao abrir, descobrimos que o estado desse commit é “Unverified”, indicando que essa submissão não foi verificada. Ao clicar nesse estado, também podemos ver a dica de que Linus Torvalds não usou sua chave pública para assinar. Então, como essa submissão foi falsificada? Na verdade, é bem simples, o github registra as informações de submissão de qualquer pessoa que apenas precisa dos campos GIT_AUTHOR_NAME, GIT_AUTHOR_EMAIL, etc., então, podemos falsificar essas informações? Vamos fazer um experimento, definindo algumas variáveis de ambiente relacionadas, essas são informações públicas de Linus Torvalds: export GIT_AUTHOR_export GIT_AUTHOR_export GIT_COMMITTER_export GIT_COMMITTER_. Então, vamos alterar aleatoriamente alguns conteúdos no arquivo-fonte e depois fazer um commit, vamos ver como fica o log: a primeira linha é a informação do meu teste, pode-se ver que a informação do autor no log se tornou Linus Torvalds, nesse momento, se eu for enviar, o que aparecerá no github é que Linus Torvalds participou desse projeto. A segunda informação é a informação falsificada que estamos vendo atualmente no github. Então, como podemos identificar essa submissão falsificada? Existem algumas maneiras: 1. Clique no commit e veja qual é o estado da submissão atual, se for uma submissão real, não haverá nada lá, se for falsificada, aparecerá “Unverified” acima. 2. Também podemos visitar a página do github de Linus Torvalds e ver quais projetos ele tem em suas atividades de commit. O github dele é https://github.com/torvalds, na “Atividade de contribuição” pode-se ver que ele não participou do zailgo. 3. O administrador do projeto pode ver o log de submissão detalhado, nesse momento, as informações do falsificador também podem ser descobertas, mas não temos privilégios de administrador. O projeto zailgo é um bom projeto, falsificar informações para promover é inaceitável, e todos devem ter cuidado para não serem enganados por essas notícias falsas.