Я изучаю, как использовать Git, и заметил, что при коммите нет никакого контроля над user.name и user.email. Например, я в своем хранилище. Я могу изменить свой локальный конфиг,
$ git config user.name "<someone's Github username>"
$ git config user.email "<someone's Github email>"
Затем я что-то совершаю и подталкиваю. Мне будет предложено ввести имя пользователя и пароль Github.
Теперь кажется, что другой пользователь Github создал этот коммит в моем хранилище. !?
Я что-то пропустил?
Ух ты, это отличный вопрос, я не понимаю, почему этому не уделяется больше внимания (возможно, потому что это не совсем связано с безопасностью, чем SU).
Об этом идет обсуждение хакерских новостей - https://news.ycombinator.com/item?id=7792026
Это не главная проблема, но вы можете сделать с ней серьезные злоупотребления -
Недавно GitHub подвергся критике за то, что он также позволял владельцам проектов редактировать комментарии пользователей, отвечающих в своем проекте, создавая впечатление, что они пишут вещи, которые не пишут, что может привести к серьезным злоупотреблениям. Это очень похожая вещь.
Как уже упоминалось в других ответах, Git был разработан именно так. во внутреннем репо вы не очень заботитесь об этом, и вы в основном заботитесь об управлении кодом, а не о репутации. GitHub, с другой стороны, является социальным инструментом и должен заботиться о своей публичной репутации пользователя (как упоминалось в обсуждении хакерских новостей, это разрешимо с помощью шифрования PK. У многих пользователей уже есть PK, назначенный их учетной записи GitHub для push-разрешений. использоваться для подписания коммитов)
У Git нет возможности узнать, кто что написал. Как это могло знать? Все, что он делает, это сообщает, что вы говорите, чтобы сообщить. Мусор на входе, мусор на выходе.
Абсолютно нормально и привычно для одного человека совершать работу другого человека.