比如如果你和你讨厌的某个 co-worker 共同贡献一个项目, 你完全可以假冒他的身份做一些奇怪的 commit...
这里有一个 10 年前的 repo 演示了这玩意儿 https://github.com/Mikulas/fake-author-attack
很显然我今天自己测试时也成功了
当然,GitHub 上, 如果你有在本机设置证书, 或是使用 GitHub 的网页端, 如果你的 email/username 跟你的实际账号一致, 在 commit 旁边会有 "verified" 的标志, 不过用本地客户端, 没设证书就没有这种功能了... 另外手机版的 GitHub 看不到 verified 的标志
How to Spoof Any User on Github…and What to Do to Prevent It
我问 chatGPT 的时候, 他说 git 还会保存真实的 author, 不过我没有找到
