这篇论文系统性地研究了开源软件供应链中贡献归属的脆弱性问题。作者指出，关键开源项目构成了许多大型软件系统的基石，但验证提交作者身份的真实性既关键又困难。Git 用户可以自由配置作者名称和电子邮件地址，而 GitHub 等平台使用这些信息来生成指向用户账户的个人资料链接。这为恶意行为者提供了伪造贡献历史以提升账户可信度的机会。论文设计了三个攻击场景：通过伪造 Git 提交作者信息劫持贡献、利用 GitHub 对电子邮件地址的处理进行身份冒充、以及结合两者进行更隐蔽的攻击。研究者对 GitHub 上 50,328 个关键开源项目进行了大规模测量，发现 85.9% 的项目可能被滥用。他们识别出 573,043 个可被恶意行为者声称的电子邮件地址，从而劫持历史贡献。作为对比，研究了提交签名这一防御措施，发现绝大多数用户（95.4%）从未签署过提交，大部分项目（72.1%）没有签名提交；只有 2.0% 的用户和 0.2% 的项目对所有提交进行了签名。签名与否与项目编程语言、主题或其他安全措施无关联。此外，论文分析了在线安全建议文档，发现大多数文档意识到简单的 Git 提交伪造技术，但对 GitHub 处理电子邮件地址的问题缺乏认识。研究结果表明，当前贡献归属机制存在严重安全隐患，需要改进平台安全措施和提高社区意识。