Vouch - système de gestion de la confiance pour les contributeurs open source

 (github.com/mitchellh)
9 points par xguru 2026-02-09 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • L’open source a traditionnellement fonctionné sur un modèle de trust and verify
  • Avec la généralisation des outils d’IA, la barrière d’entrée à la contribution a pratiquement disparu, et l’ancien modèle de confiance implicite ne fonctionne plus
  • Système de gestion de la confiance pour l’open source conçu pour ne permettre la participation qu’après une garantie explicite de confiance (vouch) avant toute contribution
  • Les contributeurs de confiance peuvent vouch pour d’autres utilisateurs, et les acteurs malveillants peuvent être explicitement bloqués via denounce
    • denounce est conservé comme un registre public, que d’autres projets peuvent consulter
    • Qui peut vouch/denounce, et selon quels critères, est laissé à la décision de chaque projet
    • Le système n’impose aucune vision particulière, et les décisions de politique relèvent de la communauté
  • Toutes les données de confiance sont versionnées avec le code dans un fichier texte unique (VOUCHED) au sein du dépôt, garantissant transparence et portabilité
  • À long terme, la structure vise le partage d’informations de confiance entre projets via une Web of Trust
    • Le choix d’accepter tel quel le jugement d’un projet amont revient au projet aval
    • Les projets qui multiplient les vouch/denounce de manière inconsidérée peuvent être naturellement exclus du réseau de confiance
  • Intégration simple avec GitHub Actions, avec une gestion possible depuis les commentaires d’issue ou de PR via des mots-clés comme lgtm et denounce
  • Ghostty a basculé son modèle de contribution vers un système fondé sur le vouch
  • Implémenté en s’inspirant du projet Pi, actuellement au stade expérimental

Commandes fournies

  • Fichiers locaux
    • vouch.nu check <user>: vérifier l’état de vouch/denounce d’un utilisateur
    • vouch.nu add <user>: vouch pour un utilisateur
    • vouch.nu denounce <user>: denounce un utilisateur
  • Intégration GitHub
    • vouch.nu gh-check-pr <pr>: vérifier l’état de l’auteur de la PR et traiter automatiquement
    • vouch.nu gh-manage-by-issue <issue> <comment>: vouch/denounce à partir d’un commentaire d’issue

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.