GitHub’un Sahte Yıldız Ekonomisinin Gerçek Yüzü

 (awesomeagents.ai)
5 puan yazan GN⁺ 10 일 전 | 7 yorum | WhatsApp'ta paylaş
  • GitHub’un yıldız alım satım ekosistemi, özel web siteleri, serbest çalışma platformları, takas ağları ve kapalı kanallar genelinde oluşmuş durumda; 2019’dan 2024’e kadar yapılan analizde yaklaşık 6 milyon şüpheli sahte yıldızın 18.617 depo ve yaklaşık 301 bin hesaba dağıldığı belirlendi
  • 2024’te sahte yıldız kampanyaları hızla arttı ve 50’den fazla yıldıza sahip depoların %16,66’sının bununla ilişkili olduğu hesaplandı; satın alınan yıldızların GitHub Trending’de görünmek ve platformun keşif algoritmalarını aşmak için gerçekten kullanıldığı görüldü
  • Sahte yıldız satışı, hesap kalitesi ve teslim yöntemine göre yıldız başına 0,03 dolar ile 0,90 dolar arasında değişiyor; buna katkı grafiği manipülasyon araçları, hazır üretilmiş profil satışı, yenileme garantisi ve hatta satın alma API’leri de dahil olan bir altyapı eşlik ediyor
  • GitHub yıldız sayısı, yatırım çekme göstergesiyle doğrudan bağlantılı ve seed ile Series A aşamalarında bir eşik olarak kullanılıyor; düşük maliyetli yıldız satın alımı, şişirilmiş traction algısı ve fon toplamaya uzanan kendi kendini güçlendiren bir döngü oluşturuyor
  • Fork’a kıyasla yıldız oranı ile watcher’a kıyasla yıldız oranı, manipülasyon tespiti için ilk filtre olarak öneriliyor; GitHub politikalarında yasak olmasına ve FTC kuralları uygulanmasına rağmen hesaplara yönelik yaptırımlar depo silmeye kıyasla daha sınırlı kalıyor, bu nedenle yapısal bir karşılık henüz hayata geçirilmiş değil

6 milyon sahte yıldız

  • Carnegie Mellon University, North Carolina State University ve Socket araştırmacılarının StarScout analizi, 2019’dan 2024’e kadar 20 TB GitHub meta verisi, 6,7 milyar etkinlik ve 326 milyon yıldızı inceledi; sonuçta yaklaşık 6 milyon şüpheli sahte yıldızın 18.617 depo ve yaklaşık 301 bin hesaba dağıldığı belirlendi
  • 2024’te sahte yıldız kampanyaları keskin biçimde arttı ve Temmuz itibarıyla 50’den fazla yıldıza sahip depoların %16,66’sının bununla ilişkili olduğu hesaplandı
    • 2022 öncesinde bu oran neredeyse sıfıra yakındı
  • Tespit doğruluğu doğrulamasında da StarScout’un işaretlediği depoların %90,42’sinin, hesapların ise %57,07’sinin Ocak 2025 itibarıyla silinmiş olduğu görüldü
    • Bu oran, GitHub’un da bunu anormal etkinlik olarak değerlendirdiğini destekliyor
  • Sahte yıldızlardan faydalanan depolar arasında AI ve LLM ile ilgili depolar, kötü amaçlı olmayan kategori içinde en büyük grubu oluşturdu; mutlak sayı bazında 177 bin sahte yıldız sayıldı
    • Buna akademik makale depoları ve LLM ile ilgili startup ürünlerinin sıkça dahil olduğu aktarılıyor
  • Sahte yıldız kampanyası tespit edilen 78 depo GitHub Trending’de yer aldı; satın alınmış yıldızların platformun keşif algoritmalarını aşmak için gerçekten kullanıldığı görüldü
  • Mart 2023’teki Dagster incelemesinde mühendisler, olguyu doğrulamak için doğrudan iki satıcıdan yıldız satın aldı
    • Almanya’da kayıtlı şirket GitHub24, yıldız başına 0,85 EUR talep etti ve 100 yıldızın tamamı bir ay sonra da korunmuştu
    • Baddhi Shop, 1000 yıldızı 64 dolara sattı ancak kalıcılık oranının %75 seviyesinde olduğu belirtildi

Pazar yeri

  • GitHub yıldız satış ekosistemi, özel web siteleri, serbest çalışma platformları, takas ağları ve kapalı kanallar genelinde şekillenmiş durumda; en az 12’den fazla aktif web sitesi doğrudan GitHub yıldızı satıyor
    • SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com, Followdeh.com, Vurike.com örnek olarak sıralanıyor
  • Fiyat aralıkları, hesap kalitesi ve teslim yöntemine göre ayrışıyor
    • Düşük segmentte yıldız başına 0,03 dolar ile 0,10 dolar, birkaç gün içinde teslimat, yeni veya boş profiller kullanımı
    • Orta segmentte 0,20 dolar ile 0,50 dolar, 1 ila 2 haftada teslimat, kısmi etkinlik geçmişi
    • Premium segmentte 0,80 dolar ile 0,90 dolar, kademeli ve doğal teslimat iddiası, birkaç yıllık hesaplar ile depo ve katkı geçmişi
  • Fiverr’da da GitHub tanıtımı satan 24 aktif gig bulunuyor; temel yıldız ve fork paketleri 5 dolar, "organic promotion" ise 25 dolar ve üzeri olarak fiyatlanıyor
    • Platform filtrelerinden kaçmak için daha dolaylı veya üstü kapalı ifadeler kullanılıyor
  • Yıldız takas platformları da faaliyet gösteriyor; GithubStarMate.com ve SafeStarExchange.com gibi siteler, kredi tabanlı karşılıklı yıldız sistemi sunuyor
  • Altyapı yalnızca yıldız satışıyla sınırlı kalmayıp GitHub katkı grafiği manipülasyonuna kadar genişliyor
    • fake-git-history, commit-bot, Commiter dahil en az 7 açık kaynak araç, GitHub katkı geçmişini sahte göstermek amacıyla mevcut
    • 5 yıllık commit geçmişi ve Arctic Code Vault Contributor rozeti taşıyan hazır GitHub profilleri Telegram’da yaklaşık 5000 dolara satılıyor
  • Bazı satıcılar yenileme garantisi bile sunuyor
    • Followdeh, 30 günlük garanti reklamı yapıyor
    • Premium hizmetler, GitHub tespitini aşan "non-drop" yıldızlar vaat ediyor
    • SocialPlug, 53 binden fazla müşteriye 3,1 milyon yıldız teslim ettiğini iddia ediyor ve satın alma API’si de sunuyor
  • Tsinghua University’nin ACSAC 2020 araştırması, Çin’deki QQ ve WeChat tanıtım gruplarının ticari yapısını belgeliyor
    • 1020’den fazla üye günde yaklaşık 20 depoyla ilgileniyor
    • Tanıtımcıların yıllık kârının 3,4 milyon dolar ile 4,4 milyon dolar arasında olduğu tahmin ediliyor

Kendi analiz: sahte stargazer’ların özellikleri

  • GitHub API tabanlı bir analiz aracı kurularak 20 depo incelendi; StarScout tarafından işaretlenen depolar, Runa Capital ROSS Index’te yüksek büyüme gösteren yapay zeka depoları ve organik taban çizgisi depoları birlikte karşılaştırıldı
  • Her depo için stargazer profillerinden 150’şer örnek alınarak hesap yaşı, herkese açık depo sayısı, takipçi sayısı ve biyografi bulunup bulunmadığı ölçüldü
  • Manipülasyon izleri birkaç ortak göstergede tekrar tekrar ortaya çıkıyor
    • Hesaplar çok yeni olmasa bile boş hesap oranı yüksek oluyor
    • Fork başına yıldız oranı ve watcher başına yıldız oranı, organik depolara kıyasla belirgin biçimde daha düşük oluyor

  • Organik taban çizgisi

    • Flask, LangChain ve AutoGPT için medyan hesap yaşı sırasıyla 4801 gün, 2967 gün, 4022 gün olarak veriliyor; stargazer’ların büyük kısmı uzun süredir GitHub kullanan geliştiricilerden oluşuyor
    • Hiç herkese açık deposu olmayanların oranı %5,3, %5,9 ve %2,0 seviyesinde; 0 takipçili hesap oranı da %10,0, %11,8 ve %5,9 ile düşük kalıyor
    • Flask için hayalet hesap oranı %1,3; Flask, LangChain ve AutoGPT için suspicious accounts oranı ise %0,0 olarak veriliyor
    • Fork başına yıldız oranı Flask’ta 0.235, LangChain’de 0.155, AutoGPT’de 0.090; yani kodun gerçek kullanımı ve türetilmesi belli bir düzeyde eşlik ediyor
    • Watcher başına yıldız oranı Flask’ta 0.029, LangChain’de 0.006, AutoGPT’de 0.005 olarak görünüyor
    • Organik depoların stargazer’ları yıllardır aktif, kendi projelerine sahip ve başka kullanıcıları takip eden geliştirici özellikleri taşıyor
    • 0 depo, 0 takipçi ve biyografi yok kombinasyonundaki hayalet hesaplar, sağlıklı projelerde yaklaşık %1 düzeyinde gösteriliyor

  • Manipüle edilmiş blockchain depoları

    • Union Labs, Shardeum, FreeDomain ve Anoma için medyan hesap yaşı 997 gün ile 1180 gün aralığında; yani basit yeni hesap filtresini geçebilecek seviyede
    • Ancak hesapların içi boş; herkese açık depo sayısı 0 olanların oranı %28,0 ile %38,0, 0 takipçili hesap oranı %52,0 ile %81,3, hayalet hesap oranı ise %19,3 ile %28,7 arasında çıkıyor
    • Fork başına yıldız oranı Union Labs’ta 0.052, Shardeum’da 0.022, FreeDomain’de 0.017, Anoma’da 0.121 olarak veriliyor
    • Watcher başına yıldız oranı da FreeDomain’de 0.001 gibi son derece düşük seviyelerde
    • Bu tür hesaplar, eski hesapların satın alındığı ya da çiftlik usulü toplanıp yıldız kampanyalarına sokulduğu bir örüntü olarak yorumlanıyor
    • En güçlü sinyal olarak fork başına yıldız oranı gösteriliyor
      • Flask’ta 1000 yıldız başına 235 fork var
      • Shardeum’da 22
      • FreeDomain’de 17
    • Watcher başına yıldız oranı da aynı yöne işaret ediyor; FreeDomain’in 0.001 değeri, 1000 yıldız başına güncellemeleri gerçekten izleyen kullanıcı sayısının yaklaşık 1 olduğunu gösteriyor

  • FreeDomain

    • 157 bin yıldıza sahip olmasına rağmen 168 watcher ve 2676 fork ile gösteriliyor
    • Watcher başına yıldız oranı Flask’tan 26 kat daha düşük
    • Örneklenen stargazer’ların %81,3’ü 0 takipçili; bu da GitHub içinde görünür faaliyet temeli neredeyse olmayan hesaplardan oluşan bir yapı gösteriyor

  • Union Labs

    • 2025’in 2. çeyreğinde Runa Capital ROSS Index 1’incisi seçildi; yıldız artış oranı 54,2 kat ve toplam 74 bin 300 yıldız kaydetti
    • Kendi analizinde 0 herkese açık depolu hesap oranı %32,7, 0 takipçili hesap oranı %52, fork başına yıldız oranı 0.052 olarak doğrulandı
    • StarScout analizinde %47,4 şüpheli sahte yıldız olarak işaretlendi
    • VC’lerin referans aldığı etkili yatırım keşif raporunun zirvesinde, yıldızların neredeyse yarısının yapay olma ihtimali bulunan bir projenin yer aldığı görülüyor

  • Yapay zeka bölümü

    • RagaAI, openai-fm, Langflow ve hermes-agent karşılaştırıldığında, yapay zeka depoları içinde de göstergelerde büyük sapmalar görülüyor
    • RagaAI-Catalyst, %76,2 oranında 0 takipçili hesap ve %28,0 oranında hayalet hesap ile blockchain örüntüsüne neredeyse birebir uyan değerler kaydetti
    • openai-fm, tüm veri setindeki en uç örnek olarak gösteriliyor
      • suspicious accounts %66,0
      • hayalet hesap %36,0
      • medyan hesap yaşı 116 gün
      • stargazer’ların üçte ikisi 1 yıldan genç ve GitHub etkinliği neredeyse yok
      • StarScout, bu örneğin OpenAI’ın kendisinden değil, büyük olasılıkla üçüncü taraf botlardan kaynaklandığını belirtiyor
    • Langflow, StarScout’ta %47,9 sahte olarak işaretlenmiş olsa da profil örnek analizi medyan yaşın 2859 gün olduğunu ve hayalet hesap oranının düşük kaldığını göstererek görece temiz bir tablo ortaya koyuyor
      • StarScout taramasından sonra hesap kalitesinin iyileşmiş olabileceği öne sürülüyor
      • Yine de fork başına yıldız oranı 0.060 ile Flask’ın yaklaşık dörtte biri seviyesinde ve hâlâ düşük
    • NousResearch’in hermes-agent deposu görece organik bir depo olarak sınıflandırılıyor
      • medyan hesap yaşı 8 yıl
      • hayalet hesap %6
      • fork başına yıldız oranı 0.133
      • Reddit’teki astroturfing suçlamalarından bağımsız olarak, stargazer’ların çoğunun gerçek geliştiriciler olduğu analiz ediliyor
      • kriptoya komşu kullanıcı tabanı nedeniyle 0 takipçili hesap oranı biraz yüksek olsa da temel etkileşim örüntüsü meşru kabul ediliyor

Yıldızların paraya dönüştüğü yol

  • GitHub yıldız sayısı ile startup finansmanı arasındaki bağın bir tahmin değil, yatırımcıların bizzat belgelendirdiği bir ilişki olduğu belirtiliyor
  • Redpoint Ventures’tan Jordan Segall’in 80 geliştirici aracı şirketini analiz etmesi sonucunda, seed yatırım aşamasında medyan yıldız sayısı 2850, Series A’da ise 4980 olarak hesaplandı
    • Birçok VC’nin hızlı büyüyen GitHub projelerini bulmak için şirket içinde scraping programları çalıştırdığı ve en sık baktıkları metriklerden birinin doğrudan yıldız olduğu açıkça belirtiliyor
  • Bu sayılar startup’lara fiilen bir satın alma hedefi veriyor
    • Düşük maliyetli yıldız tarifesiyle 85 ila 285 dolar arasında seed medyanı olan 2850 yıldız manipüle edilebiliyor
    • 990 ila 4500 dolar arasında bir bütçeyle Series A bandına yaklaşmak mümkün
    • Tipik 1 milyon ila 10 milyon dolarlık seed turu baz alındığında, 3500 kat ile 117 bin kat arasında ROI aralığı hesaplanıyor
  • Runa Capital her çeyrek ROSS Index yayımlayarak GitHub yıldız büyüme hızına göre en iyi 20 açık kaynak startup’ı sıralıyor
    • TechCrunch’a göre yatırım alan startup’ların %68’i seed aşamasında fon topladı ve izlenen turların toplamı 169 milyon dolar oldu
  • GitHub da GitHub Fund aracılığıyla M12 ile iş birliği yapıyor, her yıl 10 milyon dolar yatırım yapıyor ve platform traction’ını kısmi ölçüt olarak kullanarak pre-seed ve seed aşamasındaki 8 ila 10 açık kaynak şirkete yatırım yapıyor
  • Yıldızlardan fon toplamaya uzanan birçok örnek sıralanıyor
    • Lovable: 50 binden fazla yıldız, 7,5 milyon dolarlık pre-seed, 45 çalışan ölçeğinden 1,8 milyar dolar değerleme ile 200 milyon dolarlık Series A

    • Pangolin**: 2025 Ocak’ta 1000 yıldız, Y Combinator kabulü, 2025 Ağustos’a kadar**4,7 milyon dolar seed

    • Browser-use**: 3 ayda 50 bin yıldız, Y Combinator W25,** 17 milyon dolarlık seed

      • LangChain: seed aşamasında Benchmark’tan 10 milyon dolarlık yatırım
      • Dagster’dan Fraser Marlow da fon toplama öncesinde GitHub yıldızlarına ciddi zaman ayırdığını doğrudan söylüyor
      • Organization Science makalesi, GitHub’daki faaliyet ile startup finansman sonuçları arasındaki korelasyonu istatistiksel olarak gösteriyor
      • GitHub’da aktif olan startup’ların yatırım turu çekmiş olma olasılığı 15 puan daha yüksek
      • Sonuç olarak VC’lerin yıldız takibi → startup’ların manipülasyonu → şişirilmiş traction algısı → daha fazla VC benimsemesi → daha fazla manipülasyon şeklinde kendini güçlendiren bir döngü oluşuyor
      • Redpoint’in kamuya açık eşik değerleri, startup’lara tam hedef sayıları veren bir yapı ortaya koyuyor

Forka karşı yıldız oranı: basit bir tespit sezgiseli

  • Kendi analizinde, forka karşı yıldız oranı potansiyel manipülasyonu belirlemede en güçlü basit gösterge olarak ortaya çıkıyor
  • Mantık basit
    • Yıldızlar hiçbir maliyet olmadan verilebilir ve gerçek bir bağlılık anlamına gelmez
    • Fork, kodun indirilip kullanıldığı veya değiştirildiği anlamına gelir
  • Kategori bazında ortalama forka karşı yıldız oranı şöyle veriliyor
    • Organik referans niteliğindeki 3 depo için 0.160
    • 5 yapay zeka aracı deposu için 0.124
    • Manipülasyon şüphesi taşıyan 4 blokzincir kümesi deposu için 0.053
    • 2 uç örnek depo için 0.020
  • 10 binden fazla yıldıza sahip olup forka karşı yıldız oranı 0.05’in altında olan depoların yakından incelenmesi gerektiği ölçütü sunuluyor
  • Watcher’a karşı yıldız oranı da daha sezgisel bir yardımcı sinyal olarak sunuluyor
    • Organik projelerde ortalama 0.005 ile 0.030 arasında
    • FreeDomain için 0.001
  • Bu oranın kusursuz bir ayırt etme ölçütü olmadığı, eğitim amaçlı depoların veya kürasyon listelerinin doğal olarak düşük fork oranına sahip olabileceği belirtiliyor
  • Buna rağmen, ham yıldız sayısının tek başına gözden kaçırdığı en ağır vakaları ilk aşama filtresi olarak yakalamada etkili olduğu değerlendiriliyor

GitHub dışındaki sahte popülerlik

  • Popülerlik metriklerinin güveni etkilediği tüm platformlara aynı olgunun yayıldığı belirtiliyor
  • npm indirme sayıları çok kolay şişirilebiliyor
    • Andy Richardson, tek bir AWS Lambda fonksiyonunun ücretsiz katmanını kullanarak is-introspection-query paketini haftada neredeyse 1 milyon indirmeye çıkardı
    • Bu sayı urql, mobx gibi meşru paketlerden yüksekti, ancak gerçek kullanıcı sayısının 0 olduğu belirtiliyor
    • CMU araştırmasında, sahte yıldız kampanyası bulunan depoların yalnızca %1.23’ünün paket kayıtlarında göründüğü, ancak bu 738 paketin %70.46’sının bağımlı projesinin 0 olduğu ortaya kondu
  • VS Code Marketplace eklentileri de aynı zafiyeti gösteriyor
    • Araştırmacılar 48 saat içinde sahte eklenti kurulumunun 1000’den fazla olabildiğini kanıtladı
    • AquaSec, bilinen kötü amaçlı bağımlılıklar içeren 1283 eklenti ve toplam 229 milyon kurulum tespit etti
  • X/Twitter promosyonu, yapay GitHub viralliğini büyütüyor
    • engagement pod adı verilen kapalı gruplarda üyeler birbirlerine beğeni, yeniden paylaşım ve yorum veriyor
    • Growth Terminal bunu bir ürün özelliği olarak satıyor
    • NBC News ile Clemson University araştırmacıları, LLM üretimi içerikle 130 binden fazla paylaşım yapan 686 X hesabından oluşan bir ağ belirledi
    • Bazı paylaşımlarda, kullanılan modelin izi olan "Dolphin here!" gibi ifadeler yer aldı
  • Higgsfield AI vakasında, platformlar arası astroturfing büyük ölçekte belgelenmiş durumda
    • 60’tan fazla subreddit’e yayılan 100’den fazla spam gönderi
    • İçerik üreticilerine tanıtım karşılığında ödeme teklif eden şablon DM’lerin toplu gönderimiyle birleşiyor

Neredeyse hiç konuşulmayan hukuki risk

  • FTC Consumer Review Rule, 21 Ekim 2024’te yürürlüğe giriyor ve ticari amaçlarla botlar/sahte hesaplar üzerinden yapılan "sahte sosyal medya etki metrikleri" alım satımını açıkça yasaklıyor
  • İhlal halinde yaptırımın vaka başına en fazla 53.088 dolar olduğu belirtiliyor
  • FTC’nin 10 Aralık 2025’te 10 şirkete ilk uyarı mektuplarını gönderdiği ve ticari ürün tanıtımı için GitHub yıldızı satın almanın bu çerçeveye uyduğu ifade ediliyor
  • SEC emsalleri de daha doğrudan örnekler olarak sunuluyor
    • HeadSpin CEO’su, metrikleri şişirerek yatırımcılardan 80 milyon dolar topladığı iddiasıyla elektronik dolandırıcılık ve menkul kıymet dolandırıcılığıyla suçlandı
    • ComplYant kurucusu, aylık gelirinin 250 bin dolar olduğunu iddia etmesine rağmen gerçekte 250 dolar olduğu suçlamasıyla karşı karşıya kaldı
  • SEC, startup fon toplayıcılarının "fake it until you make it" kültürünü yatırımcıları aldatmak için kullanamayacağı mesajını veriyor
  • Bir startup’ın fon toplama sürecinde sahte GitHub yıldızlarıyla traction’ını şişirdiği ve yatırımcının da bu metriğe dayanarak sermaye koyduğu durumda, elektronik iletişim yoluyla önemli bir gerçeğin yanlış beyanı anlamında elektronik dolandırıcılık çerçevesinin uygulanabileceği bağlantısı kuruluyor
  • Henüz yalnızca sahte GitHub yıldızları nedeniyle açılmış bir dava olmasa da, CMU araştırmasının büyük ölçekli ampirik bulguları ve FTC kuralındaki açık yasak dikkate alındığında bunun zaman meselesi olabileceği öne sürülüyor

GitHub’ın yanıtı

  • GitHub’ın Acceptable Use Policies metni; samimiyetsiz etkileşimleri, sahte hesapları ve otomatik samimiyetsiz faaliyetleri, otomatik yıldız/takip gibi sıralama istismarlarını ve samimiyetsiz faaliyetleri yaymak için ikincil piyasalara katılımı açıkça yasaklıyor
  • Kripto airdrop’ları, token’lar, krediler veya hediyeler gibi ödüllerle teşvik edilen yıldızlar da politika kapsamında yasak
  • Uygulamanın reaktif ve asimetrik olduğu değerlendiriliyor
    • StarScout’un işaretlediği depoların %90.42’si silinirken, bu yıldızları sağlayan hesapların yalnızca %57.07’si silindi
    • Gelecekteki kampanyalarda kullanılabilecek hesap altyapısının önemli bir kısmı ayakta kaldı
  • Dagster soruşturmasında da sahte yıldız profilleri 48 saat içinde silindi, ancak bunun kamuoyu önündeki ifşanın ardından gerçekleştiği ve önleyici tespit örneği olmadığı belirtiliyor
  • GitHub, yıldız manipülasyonunu nasıl tespit ettiğine veya uygulama istatistiklerine dair bir mühendislik blog yazısı hiç yayımlamadı; ayrı bir şeffaflık raporu da bulunmuyor
  • GitHub güvenlik operasyonlarından sorumlu başkan yardımcısı, Wired’a yalnızca politika gereği hesapları devre dışı bıraktıklarını söyledi ve ek açıklama yapmayı reddetti
    • Ancak bu açıklamanın vanity metric manipülasyonuna değil, Stargazers Ghost Network kötü amaçlı yazılım operasyonuna dair bir yorum olduğu özellikle belirtiliyor
  • CMU araştırmacıları, ham yıldız sayısı yerine ağ merkeziliği tabanlı ağırlıklı popülerlik metriği kullanılmasını öneriyor
    • Bunun, sahte yıldız ekonomisini yapısal olarak zayıflatabilecek bir değişiklik olduğu belirtiliyor
  • GitHub bu öneriyi henüz uygulamaya almadı

VC’lerin bunun yerine bakması gereken metrikler

  • Bessemer Venture Partners, yıldızları vanity metrics olarak nitelendiriyor ve bunun yerine aylık benzersiz katkıcı etkinliğini izliyor
    • Buna issue açanlar, yorum yapanlar, PR gönderenler ve commit yapanlar dahil
    • En büyük 10 bin proje içinde aylık 250’den fazla katkıcıyı aşabilenlerin oranı %5’ten az
    • Bunu 6 ay üst üste koruyabilenlerin oranı ise yalnızca %2
  • StateShift’ten Jono Bacon, gerçek benimsenmeyle ilişkili 5 metriği öneriyor
    • Paket indirme sayıları
    • Gerçek kullanıcıların production edge case’lerini ortaya çıkaran issue kalitesi
    • İkinci PR’a kadar geçen süreyle ölçülen katkıcı tutma oranı
    • Topluluk tartışmalarının derinliği
    • Kullanım telemetrisi
  • Kendi analizinde ortaya çıkan forka karşı yıldız oranı, en basit ilk aşama filtresi olarak sunuluyor
    • Sağlıklı projelerde her 1000 yıldız başına kabaca 100 ila 200 fork görülüyor
    • Mutlak yıldız sayısı yüksekken 1000 yıldız başına 50’den az fork varsa ek inceleme gerekiyor
  • Alıntı olarak şu cümle veriliyor: "Yıldız sayısını kandırabilirsiniz, ama birinin hafta sonunu kurtaran hata düzeltmesini kandıramazsınız."

Yapısal sorunlar

  • Sahte yıldız ekonomisinin neden kendi kendini güçlendirdiğini açıklayan üç dinamik ortaya konuyor

  • Teşvik döngüsü

    • VC'ler yıldızları deal sourcing sinyali olarak kullanıyor
    • Startup'lar yıldızları manipüle ediyor
    • VC'ler şişirilmiş traction'ı doğruluyor
    • Daha fazla VC yıldız takibini benimsiyor
    • Daha fazla startup'ın manipülasyona yöneldiği döngüsel bir yapı oluşuyor
    • Redpoint'in herkese açık benchmark'ı olan seed için 2850, Series A için 4980 fiilen bir satın alma miktar listesi işlevi görüyor

  • Yapay zeka alanının kırılganlığı

    • Aşırı köpük, ürün kalitesinden çok token fiyatını ödüllendiren kriptoya komşu finansman yapısı ve manipüle edilmiş personlarla dolu X/Twitter yorumcu ekosistemi birleşerek üretilmiş güven için elverişli bir ortam yaratıyor
    • Kendi analizlerinde de manipülasyon sinyalleri en kötü olan depoların çoğunun blokzincir ve kriptoya komşu yapay zeka projeleri olduğu doğrulanıyor

  • GitHub yaptırımındaki asimetri

    • Depoları kaldırırken sahte hesapların %57'sini yerinde bırakan yapı, sahte yıldız ekonomisinin işgücünü koruyor
    • Tekrarlanan ihlallere karşı caydırıcılık zayıf kalıyor
    • GitHub ağırlıklı popülerlik metrikleri, hesap düzeyinde itibar puanları ve şeffaf yaptırım raporları gibi yapısal değişiklikler getirmediği sürece, yıldız sayısı ile gerçek geliştirici benimsemesi arasındaki farkın büyümeye devam edeceği sonucuna varılıyor
    • Sahte yıldız ekonomisi, 50 dolarlık bir sorunun 50 milyon dolarlık bir sonuç doğurduğu bir yapı olarak özetleniyor
    • Platformlar, yatırımcılar ve düzenleyici kurumlar yetişene kadar pazarın bu 50 doları ödemeyi sürdüreceği cümlesiyle bölüm sona eriyor

İlgili okumalar

7 yorum

 
pdpatgtpmdt2843 9 일 전

oh-my-claudecode ya da claw-code dolandırıcıları lol
 
savvykang 9 일 전

Demek ki SKT oldukça ileri bir şirketmiş
 
guarder 8 일 전

Benim de aklıma bu olay geldi. Üzerinden 7 yıl geçmiş bile.
 
ndrgrd 10 일 전

Ben kişisel olarak star sayısını asgari bir eşik olarak görürüm; tek başına bir değerlendirme ölçütü olarak almam.
Star sayısı 100’ü bile bulmayan projelere biraz daha şüpheyle bakarım ama 50 bini aştı diye de bir projeye otomatik olarak güvenmem.
 
shakespeares 9 일 전

Doğru bir duruş.
 
edunga1 9 일 전

Stargazer tabanlı yaklaşım iyi olmuş.
Bu günlerde 10 bin, 100 bin yıldızlı olsa bile güven vermeyen çok depo var; GitHub hızlı yanıt verirse iyi olur.
 
GN⁺ 10 일 전
Hacker News görüşleri
  • VC'lerin GitHub stars gibi hayali internet puanlarına bakarak gerçek yatırım kararları vermesi bana hiç mantıklı gelmiyor. Bu, NFL takımının quarterback'i pas isabet oranına göre değil de Instagram takipçi sayısına göre seçmesine benziyor. Cleveland Browns records bile buna bakınca bunun ciddi bir şampiyonluk stratejisinden çok şaka konusu gibi durduğunu düşündürüyor. Bunun VC'lerin tembelliği mi, yoksa ZIRP gibi ortamlarda ortalığa fazla para saçılmasının bir yan etkisi mi olduğunu sorguluyorum. Biri bana paramı stars ölçütüne göre yöneteceğini söylese önce güler, sonra bir anda ciddileşirdim
  • Bir kütüphane seçerken neredeyse hiç stars sayısına bakmadım, neden bakıldığını da pek anlamıyorum. Ben son commit'in ne zaman atıldığına, projenin yaşına, issue'ların nasıl ele alındığına ve bir miktar da kod kalitesine bakıyorum. stars en fazla bu tür somut göstergelerin dolaylı bir sonucu ya da düpedüz sahtekârlık olabilir; o yüzden doğrudan incelemeden bir anlam ifade etmiyor. Ben stars'ı hep "sonra tekrar bakılacak yer imi" gibi görmüştüm, kalite metriği kılığına girdiğini görünce şaşırdım. Keşke FTC bu tür uygulamalara sert davransa. Commit geçmişine şöyle bir göz gezdirmek bile değişim türlerini ve cadence'ı gösterdiği için oldukça faydalı
    • İnsanların sonuçta parlak süs eşyalarına çekildiğini düşününce, Napoleon'un sözündeki şan, madalya ve ödüllerin insanları harekete geçirdiği benzetmesi tam oturuyor gibi
    • Ben doğrudan stars'a bakmıyor olsam bile, kullandığım bağımlılıkların geliştiricileri bu sayıdan etkileniyorsa bu yine de bir problem
  • Böyle yazıları görünce sanki sadece belli bir sorun biraz ayarlansa mesele çözülecekmiş gibi geliyor ama bence sistemin kendisi çok daha bozuk. Asıl mesele sinyalin kendisinin metalaşmış olması. Bir SaaS yapınca para karşılığı seni "yılın Top uygulamaları" listesine koymak isteyen gazeteciler geliyor, sosyal takipçi sayılarını artıracağını söyleyen tipler çıkıyor, niş uzman bulacağını söyleyen recruiter'lar ise sonunda sadece LinkedIn scraping ve spam yapıyor. İşe alım tarafında da Doğu Asya'daki mülakat çiftliklerinde oturup Washington D.C. IP'siyle bağlanan, Avrupa tarzı isim kullanan, sentetik arka plan açan ve ilandaki bütün teknolojileri bildiğini iddia eden adayları gerçekten gördüm. Önemli bir metrik ortaya çıkar çıkmaz, onu manipüle eden bir ekosistem de hemen oluşuyor ve manipülasyon işin normal parçası haline geliyor
    • Sonunda her şeyin daha fazla para kazanma işine çıktığını düşünüyorum
    • Son tahlilde mesele, şirketin boş metrikleri satın alıp almamayı seçmesi. Biz de yakın zamanda depomuzda AI bot etkinliğini zorlaştırmaya çalıştık ve bu yazıda anlatıldığı gibi, botların nispeten daha kolay hedefler arayan startup'lara kaymasını umuyoruz
  • Küçük bir site işletiyorum; mevcut gayriresmî standardı biraz daha net tanımladım ve ana sayfada bu standarda uyan yazılım ve kütüphanelerin bir listesini tutuyorum. Başta neredeyse her şeyi kabul ediyordum ama liste uzadıkça bir notability ölçütüne ihtiyaç olduğunu fark ettim. Henüz birkaç günlük, neredeyse kesin olarak AI üretimi olan ve kalitesi de düşük bir kütüphaneyi reddederken "stars sayısının 0 olması"nı da bir endişe unsuru olarak söyleyince, yazarı agresif şekilde kaç tane gerektiğini sordu. Cevap vermedim. Çünkü stars sadece değerlendirme unsurlarından biri, her şey değil. Gerekli olan şey gerçek kullanıcılar ve gerçek tanınırlık. Sonrasında başka geliştiriciler de tartışmaya girip muğlak ölçütler yerine net bir star eşiği koymamı istedi ama bilerek koymuyorum. Bir sayı hedef haline geldiği anda metrik olarak bozulur. Sayfayı sonsuza kadar uzatmak da istemiyorum ve sadece X üzeri stars'a göre seçim yapsam zararlı yazılım bile girebilir. En önemlisi de sayfamda kimi listeleyeceğime ben karar veririm; insanlar kaba davranmasa iyi olur
  • VC'lerin GitHub popülerliğini traction kanıtı gibi ele alış biçimine bakınca, büyük sermayenin yine her şeyi bozduğunu düşünüyorum. Burada da Goodhart's law birebir geçerli. Bir deponun kalitesine hızlıca bakarken ben bakım durumuna, projenin yaşına, API'nin zarafetine ve commit geçmişine bakıyorum. Yazıda da dendiği gibi, aylık benzersiz contributor etkinliği, paket indirme sayıları, gerçekten kullanıcıdan gelmiş gibi görünen issue kalitesi, ikinci PR'a kadar elde tutma oranı, topluluk tartışmalarının derinliği, kullanım telemetry'si gibi metrikler gerçek kullanıma daha yakın geliyor
    • Ben en sonunda kodu okuyorum. En doğrudan yol bu gibi geliyor
  • Pek çok kişi stars'ı "güvenilir, kaliteli ve çok kişinin baktığı yazılım" için ucuz ve hızlı bir vekil metrik gibi görüyor sanırım. Ama bence proxy olarak tamamen başarısız. Astroturfing'i bir kenara bıraksak bile stars popülerliği ya da kaliteyi garanti etmiyor. Temel sistem kütüphaneleri arasında bile stars'ı az olan çok şey vardır diye düşünüyorum. Zaten kodun kendisini okuyabiliyorken stars'a bel bağlamak anlamsız geliyor. O yüzden ben stars'ı geçip depoya göz atarak mimariyi ve implementasyonu doğrudan değerlendirmeyi alışkanlık haline getirdim; bunu yapınca stars'ı daha az olan alternatiflerin daha iyi olduğunu düşündüğüm çok oldu
    • Üç alternatif varsa ve her biri 100 bin LOC ise, kodu okuyalım demek pratikte o kadar kolay değil. Sonuçta bir tür vekil metriğe ihtiyaç var. stars güvenilir olmadığı için zayıf ama tavsiye ya da referral gibi şeyler daha iyi. Yine de kendi ağımın bilgi sahibi olmadığı alanlarda stars gibi zayıf proxy'lere başvurduğum da oluyor
    • Eskiden issue sayfaları gerçek kullanım izlerini görmek için oldukça iyiydi. İnsanların hangi sorunları yaşadığını görürdün. Hâlâ bazen işe yarıyor ama agent çöplüğü yüzünden eskisi kadar değil
  • GitHub raw stars yerine PageRank benzeri grafik tabanlı bir puan kullansa nasıl olur diye düşünüyorum. Önemli depoları yöneten kullanıcılar stars ya da fork verdikçe ilgili deponun puanını artıran bir yöntem. Hesaplama maliyeti daha yüksek olurdu ama gözden kaçırdığım bir şey yoksa bugünkünden çok daha güvenilir sonuçlar verebilir
    • Bu yaklaşım daha iyi sonuçlara yakın görünüyor. Yine de tüm kullanıcıları kapsayan bir yapıysa hâlâ oynanabilir olur diye düşünüyorum. Onun yerine trusted peers ya da friends-of-friends gibi sınırlı bir küme kullanmak veya basit beğeni sinyalleri yerine sonradan ortaya çıkan sinyallere bakmak daha iyi olabilir
  • Asıl merak ettiğim, VC'lerin neden star sistemini güvenilir gördüğü. Star bırakan kullanıcılar çoğu zaman projeyi hemen unutuyor; dolayısıyla artık bakımı yapılmayan eski projeler bile yüksek stars sayısına sahip olabiliyor. Mükemmel olmasa da, buna kıyasla issue'ların ne kadar canlı olduğuna, açılıp kapandığına, otomatik kapanıp kapanmadığına ve yanıt sürelerine bakmak daha mantıklı. Benim projelerimde 200 stars var ama yalnızca sürüm yükseltmek dışında anlamlı güncellemeleri istikrarlı biçimde sürdürmek gerçekten zor
    • stars, hedef haline gelmiş bir metrik olduğu için artık iyi bir ölçü olmaktan çıkmış olmanın tipik örneği. Ve LLM çağında issue etkinliği gibi diğer metrikler de aç-kapa-yanıtla tarzında kolayca manipüle edilebilir gibi geliyor
    • VC'lerin binlerce stars istediği söylemi fazla büyük resim olabilir. Gerçekte daha yaygın olanın, birinin 20 dolar verip kendi projesini özgeçmişte ya da vanity amaçlı kullanmak için daha gösterişli hale getirmesi, Reddit'te daha çok tık alması ya da başka açık kaynak projeler arasında öne çıkmaya çalışması olduğunu düşünüyorum. Eğer biri sadece 8 bin ya da 10 bin stars'a bakıp projenin kendisine ya da gelir potansiyeline bakmadan yatırım yapıyorsa, gerçekten cahil bir yatırımcıdır ya da her yaz bir öğrenci projesi seçen seviyededir. Sahte hesaplar benim eski depolarıma da stars bırakıp gerçek kullanıcı gibi görünmeye çalışıyor; ayda 5 bin projeye star verip başka hiçbir etkinlik göstermeyince de hemen belli oluyorlar. Eskiden GitHub Sponsor ring'leri de görmüştüm; iş biraz kara para aklama ya da çalıntı kart kokuyordu
    • Benim aradığım şey uzun vadeli yazılım kalitesi sinyalleri; VC'nin aradığı ise kısa vadeli yükseliş momentumu sinyalleri. Bunlar sık sık birbiriyle çatışıyor
    • Burada da pagerank benzeri bir graf puanı bir ölçüde işe yarayabilir. İtibarlı kullanıcıların bıraktığı issue'lar daha fazla olan depolara daha yüksek puan vererek basit manipülasyonlara karşı biraz daha dayanıklı hale gelebilir
    • Son 3 yılda büyük bir değişiklik olmadıysa, bu yazı VC'lerin stars'a ne kadar güvendiğini biraz abartıyor gibi geliyor. Ben 10 yıl önce VC'lerle konuştuğumda bile çoğu stars'ı çoktan vanity metric olarak görüp çöpe atmıştı
  • Bence GitHub bu meseleyi çok kolay biçimde bastırabilir. Her star satıcısına 10'ar dolar harcayıp bizzat satın alır, sonra da buna karışan tüm hesapları askıya alır. Çok az parayla bile bu ekosistemin tamamına ciddi sürtünme eklenebilir gibi duruyor
  • İlgili kaynaklar arasında Dagster'ın 2023 yazısı olan "Tracking the Fake GitHub Star Black Market with Dagster, dbt and BigQuery" ile arXiv makalesi olan "Six Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware" faydalı olabilir