Astăzi am văzut în comunitate o zvon, care spunea că Linus Torvalds a participat la proiectul $zailgo, incluzând un link către github https://github.com/notwedtm/zailgo
Văzând acest mesaj m-a surprins, cine este Linus Torvalds? Să vedem prezentarea de pe wiki:
Linus Torvalds este autorul nucleului linux, proiectul open-source git este, de asemenea, al său, cum ar putea un astfel de gigant să participe la un mic proiect web3, este cu adevărat greu de înțeles, adevărul este întotdeauna unul, să-l găsim.
Mai întâi dăm clic pe „commit”, să vedem ce conținut a trimis gigantul:
După ce dăm clic, vom descoperi că statusul acestui commit este „Unverified”, indicând că acest commit nu a fost verificat.
Prin clic pe acest status putem vedea și un mesaj, Linus Torvalds nu a semnat cu cheia lui publică.
Cum este falsificat un astfel de commit? De fapt, este foarte simplu, toți cei care înregistrează informații de commit pe github trebuie doar să completeze câmpurile GIT_AUTHOR_NAME, GIT_AUTHOR_EMAIL etc., deci putem falsifica aceste informații, nu-i așa?
Să facem un experiment, să setăm câteva variabile de mediu relevante, acestea sunt informații publice despre Linus Torvalds:
export GIT_AUTHOR_NAME="Linus Torvalds"
export GIT_AUTHOR_EMAIL="torvalds@linux-foundation.org"
export GIT_COMMITTER_NAME="Linus Torvalds"
export GIT_COMMITTER_EMAIL="torvalds@linux-foundation.org"
Apoi, modificăm aleatoriu câteva conținuturi în fișierul sursă, apoi facem commit, să vedem ce este în log:
Primul mesaj de sus este informația pe care am testat-o, se poate vedea că informațiile autorului din log au devenit Linus Torvalds, în acest moment, dacă aș dori să fac un commit, pe github ar apărea că Linus Torvalds a participat la acest proiect. Al doilea mesaj este informația falsificată pe care o vedem acum pe github.
Cum putem determina astfel de commit-uri falsificate? Iată câteva metode:
1. Dăm clic pe commit, să vedem care este starea actuală a acestuia, dacă este un commit real, nu va apărea nimic acolo, dacă este falsificat, va apărea mesajul „Unverified” de mai sus.
2. De asemenea, putem merge pe pagina de github a lui Linus Torvalds pentru a vedea ce proiecte are în activitatea sa de commit. Github-ul lui este https://github.com/torvalds, în „Activitatea de contribuție” putem observa că el nu a participat la proiectul zailgo.
3. Administratorul proiectului poate vedea jurnalul detaliat al commit-urilor, în acest moment informațiile falsificatorului pot fi descoperite, dar noi nu avem permisiuni de administrare.
Proiectul zailgo este un proiect bun, falsificarea informațiilor pentru promovare este inacceptabilă, toată lumea ar trebui să fie atentă să nu fie înșelată de aceste știri false.