这件事情还要从我校为毕业生收拾行李开始讲起。今年六月末北京疫情复发,这一波直接让我们北京高校毕业生无法返校,个人行李物品必须由学校老师代为整理快递回家。这件事情让同级的同学们非常不满,于是微博知乎节奏飞起。当然这件事情是北京统一的行为,其中不光有我校学生自己不满,其他北京的学校听说有些处理的比我校更要糟糕,所以这件事情我们暂且不做评价。但从事情开始,就有「好事」的同学除了在知乎等平台上进行回答评论、表达意见,还直接在 GitHub 上面直接整理记录时间线。
一个目录,暂时不放具体仓库与地址
为什么这个仓库引起了我的注意呢?首先,对于收拾行李这件事情来说,我所在学院做的其实不错,我自己是我院一位备受尊敬的副教授老师为我收拾的,整理的非常好,所以我个人自始至终并没有对这件事情有什么太大意见,没有参与知乎讨论,也没有进行所谓的争论抗议。这些都是两个月之前发生的事情,但是,两个月之后的今天,有认识我的同学告诉我这个仓库的存在,并私下询问我为什么也给这个仓库进行了贡献。
是的,一个我直到昨天都还完全不知道存在的仓库,有人看到了「一条 commit 是由我的邮箱签入的」,并「链接到我的 GitHub 账户」。
我当时:
好奇心让我点开了同学发给我的链接,向下划到 Contributors,果然,我的头像就在那里。
淦,老子昨天才知道你这仓库的,宁真厉害
好嘛,除了我的头像,还有个我非常眼熟的头像 —— 下面这位老爷子:
这人我看着有点眼熟……
我去,这不是 Python 他爹吗?!!敢情 Python 之父也关心我们小破学校毕业生收拾行李的事情了?
仔细看了一下贡献者列表,其中不乏开源世界的知名人物,也包括一些我校在 GitHub 上有账号的同学们。好了,这处处透露着诡异的仓库,看起来除了这位仓库主人自己的 commit 以外,其余所有的 commit 的身份信息都是伪造的。
细节修改你个大头鬼啊,这里「我的」commit 周围都被篡改为我身边认识的大佬同学了
这件事情昨天确实让我非常震惊:Git 的 commit 记录竟然还可以伪造。我确实之前从来没有在意过这类安全问题,以为签入 Git 记录的内容都有完善的身份验证,而事实证明我太天真了。