Сьогодні в спільноті я побачив чутки, що Лінус Торвальдс брав участь в проекті $zailgo, і також було надано посилання на github https://github.com/notwedtm/zailgo.
Ця новина мене справді здивувала, хто ж такий Лінус Торвальдс? Давайте подивимося, що про нього пише вікі:
Лінус Торвальдс - автор ядра linux, відкритий проект git також його, як це може бути, що такий давній гігант бере участь у невеликому проекті web3, це дійсно важко зрозуміти, істина завжди одна, давайте знайдемо її.
Спочатку давайте відкриємо "commit", подивимося, що ж написав гігант:
Відкривши, ви дізнаєтеся, що статус цього commit - "Unverified", що означає, що цей коміт не був підтверджений.
Ми також можемо побачити підказку, натиснувши на цей статус, Лінус Торвальдс не підписав його своїм публічним ключем.
Як же таке комітування підробляється? Насправді це досить просто, всім, хто записує коміт інформацію, потрібно лише поле GIT_AUTHOR_NAME, GIT_AUTHOR_EMAIL тощо, тож чи можемо ми підробити цю інформацію?
Давайте проведемо експеримент, налаштуємо кілька відповідних змінних середовища, це все публічна інформація Лінуса Торвальдса:
export GIT_AUTHOR_NAME="Лінус Торвальдс"
export GIT_AUTHOR_EMAIL="torvalds@linux-foundation.org"
export GIT_COMMITTER_NAME="Лінус Торвальдс"
export GIT_COMMITTER_EMAIL="torvalds@linux-foundation.org"
Потім ми просто змінимо деякі дані в вихідному файлі, а потім commit, давайте подивимося, що в журналі:
Найперше повідомлення - це моя тестова інформація, можна побачити, що в журналі автором стала Лінус Торвальдс, і якщо я хочу його надіслати, на github з'явиться, що Лінус Торвальдс брав участь в цьому проекті. Друге повідомлення - це підробна інформація, яку ми зараз бачимо на github.
Отже, як можна визначити такі підроблені коміти? Є кілька способів:
1. Ми відкриваємо commit, дивимося, який стан поточного коміту, якщо це справжній коміт, то в статусі нічого не буде, якщо це підробка, то з'явиться вище згадане "Unverified".
2. Ми також можемо зайти на github-сторінку Лінуса Торвальдса і подивитися, які проекти він комітував. Його github - https://github.com/torvalds, у розділі "Contribution activity" можна побачити, що в проектах, в яких він брав участь, немає zailgo.
3. Адміністратори проекту можуть побачити детальний журнал комітів, і в цей момент інформацію підробника також можна виявити, але у нас немає адміністративних прав.
Проект zailgo - хороший проект, підробка інформації заради реклами - це неприпустимо, всім потрібно бути уважними, щоб не потрапити на цю фальшиву інформацію.