Pourquoi 4 800 étoiles GitHub ont fait voler la confiance en éclats

📌 Points clés (TL;DR)

• Cas observé d’un dépôt GitHub chinois dont le nombre d’étoiles a bondi de 4 000 à 4 800 sans changement de code, de release ni d’activité
• Cet épisode remet en cause l’idée même que « GitHub Star = popularité/qualité »
• Conclusion : le nombre d’étoiles GitHub n’est pas un indicateur adapté pour juger de la qualité ou de la fiabilité d’un projet

📉 Principaux arguments & enseignements pratiques

⭐ 1) La popularité peut se “fabriquer” sans difficulté

• Résultats de l’analyse des logs d’événements GitHub basée sur StarScout :
  • plus de 4,5 millions de schémas d’étoiles suspects
  • parmi eux, plus de 3,1 millions classés de fait comme de fausses étoiles
  • confirmation répétée de schémas où de nombreux comptes attribuent des étoiles simultanément sur une courte période
• Autrement dit, il existe de nombreux cas où hausse des étoiles ≠ hausse naturelle de l’intérêt

Point de vue terrain :
ajouter une dépendance simplement parce que « c’est à la mode en ce moment » est risqué

💰 2) Un “marché des étoiles” existe déjà

• Les étoiles GitHub ne sont plus seulement une marque d’intérêt ; elles fonctionnent en pratique comme un actif marketing qui s’achète et se vend
• Structure observée :
  • des vendeurs qui commercialisent directement des étoiles
  • des réseaux d’échange d’étoiles s’appuyant sur des pools de comptes
  • des options de boost d’étoiles incluses dans des offres de promotion de services
• Conséquences :
  • des indicateurs de popularité structurellement faussés
  • beaucoup plus de bruit lors de l’évaluation de nouveaux projets et bibliothèques

Point de vue terrain :
un nombre élevé d’étoiles ne signifie pas automatiquement « projet validé »

🛡 3) Les étoiles ne sont pas un “indicateur de confiance”

• Nature réelle des étoiles :
  • ✔ indicateur de visibilité
  • ❌ pas un indicateur de confiance
• Le seul nombre d’étoiles ne permet pas d’évaluer :
  • le niveau de sécurité
  • l’état de la maintenance
  • la qualité du code / la dette technique
• Problème plus grave encore :
  • il existe un risque d’utilisation dans des attaques de la chaîne d’approvisionnement (Supply Chain Attack), après avoir maquillé artificiellement la popularité avec de fausses étoiles

Point de vue terrain :
une bibliothèque très étoilée peut au contraire être un risque

🔎 Checklist de confiance pour la pratique (en 5 minutes)

Au lieu des étoiles, mieux vaut regarder ceci 👇

• Rythme d’activité
  • les commits, issues et PR sont-ils réguliers et naturels ?
• État de la documentation
  • le README est-il réellement exploitable ?
  • l’installation / les exemples / les contraintes sont-ils clairement expliqués ?
• Hygiène d’ingénierie
  • présence de tests
  • présence d’une configuration CI/CD
• Indicateurs d’adoption réelle
  • nombre de téléchargements ou de pulls sur PyPI / npm / Docker
  • traces d’usage dans de vrais services
• Posture de sécurité
  • OpenSSF Scorecard, politique de sécurité, historique de traitement des vulnérabilités
• Bus Factor
  • le projet dépend-il excessivement d’une seule personne ?

Ces éléments sont bien plus fiables que le nombre d’étoiles

📊 Message de conclusion (résumé pratique)

• Les étoiles GitHub sont un signal d’intérêt, pas un signal de confiance
• Leur nombre peut être manipulé sans difficulté
• Avoir beaucoup d’étoiles peut, selon les cas, être un signal d’alerte
• La vraie confiance vient de :
  • une activité continue
  • des pratiques de sécurité solides
  • une documentation de qualité
  • les retours de la communauté
  • une structure de maintenance et d’exploitation solide