Vouch - Açık kaynak katkıcıları için güven yönetim sistemi

 (github.com/mitchellh)
9 puan yazan xguru 2026-02-09 | 3 yorum | WhatsApp'ta paylaş
  • Açık kaynak geleneksel olarak trust and verify modeli üzerinde çalışıyordu
  • Yapay zeka araçlarının yaygınlaşmasıyla katkı yapma giriş bariyeri fiilen ortadan kalktı ve mevcut örtük güven modeli artık çalışmıyor
  • Yalnızca katkıdan önce güvenin açıkça onaylanması (vouch) durumunda katılıma izin verecek şekilde tasarlanmış bir açık kaynak güven yönetim sistemi
  • Güvenilen katkıcılar diğer kullanıcılar için vouch verebilir; kötü niyetli aktörler ise denounce ile açıkça engellenebilir
    • denounce herkese açık bir kayıt olarak tutulur ve diğer projeler tarafından referans alınabilir
    • Kimin, hangi ölçütlerle vouch/denounce edileceğine her proje kendi karar verir
    • Sistem belirli bir değerler setini dayatmaz; politika kararları topluluğa aittir
  • Tüm güven verileri depo içindeki tek bir düz metin dosyasında (VOUCHED) kodla birlikte sürüm kontrolü altında tutulur; bu da şeffaflık ve taşınabilirlik sağlar
  • Uzun vadede projeler arasında bir güven ağı (Web of Trust) oluşturarak güven bilgisini paylaşmayı hedefleyen bir yapı
    • Üst projelerin kararlarını aynen kabul edip etmemek alt projenin tercihine bağlıdır
    • Rastgele vouch/denounce yapan projeler güven ağından doğal olarak dışlanabilir
  • GitHub Actions ile kolayca entegre edilebilir; issue veya PR yorumlarında lgtm, denounce gibi anahtar kelimelerle yönetilebilir
  • Ghostty, katkı modelini vouch tabanlı bir sisteme dönüştürdü
  • Pi projesinden ilham alınarak geliştirildi; şu anda deneysel aşamada

Sunulan komutlar

  • Yerel dosya
    • vouch.nu check <user>: kullanıcının vouch/denounce durumunu kontrol et
    • vouch.nu add <user>: kullanıcı için vouch ver
    • vouch.nu denounce <user>: kullanıcıyı denounce et
  • GitHub entegrasyonu
    • vouch.nu gh-check-pr <pr>: PR yazarının durumunu kontrol et ve otomatik işle
    • vouch.nu gh-manage-by-issue <issue> <comment>: issue yorumu temelinde vouch/denounce

İlgili okumalar

3 yorum

 
kuthia 2026-02-09

Sanırım sistemin kabul görebilmesi için önce kendisinin otorite kazanması gerekecek.
 
xguru 2026-02-09

İlgi görünce bazı yanlış anlaşılmalar var gibi, bu yüzden ayrı bir FAQ hazırlamış. https://x.com/mitchellh/status/2020628046009831542

  • Yeni başlayanlar ve yeni katılımcıların katılması zordur
    • Vouch almak için zorlayıcı hiçbir neden yok
    • Vouch'un temel amacı, emek harcamadan düşüncesizce katılımı engellemek
    • Benim projelerimde (bu proje dahil), issue üzerinde kendinizi tanıtıp nasıl katkı sunmak istediğinizi kısaca açıklarsanız Vouch alabilirsiniz
    • Kısacası, normal sosyal hayattaki gibi kendinizi tanıtırsanız Vouch alabilirsiniz
    • Ancak grup içinde yetkileri kötüye kullanırsanız yaptırımla karşılaşırsınız
  • Sosyal mühendisliğe karşı savunmasızdır
    • Vouch almış kullanıcılar yalnızca projeye katılma yetkisi kazanır
    • Pull request birleştirme, koda push etme, release gibi yetkiler kazanmazlar
    • Tüm bu işlemler mevcut inceleme ve sistem kontrolleriyle sınırlandırılır
    • Ayrıca yalnızca yöneticiler/iş birliği yapan katkıcılar kullanıcı önerebilir
    • Bu nedenle sorunlu bir kullanıcı öneri almış olsa bile başka kullanıcıları öneremez
  • Denouncing için bir itiraz süreci yok.
    • İtiraz süreci alt projeye göre değişir
    • Benim projelerimde ise Discord, e-posta vb. herhangi bir yolla bize ulaşıp insan gibi konuşur ve hatanızı kabul ederseniz size yeniden fırsat verilir. Zor değil
  • Bu projenin özü, yapay zekanın API çağrıları üzerinden insanlara bilgi sağlayarak mevcut doğal bariyerleri en aza indirmesi
  • İnsan merkezli topluluk projelerinde yalnızca sınır noktalarında insani etkileşim gerekir
 
GN⁺ 2026-02-09
Hacker News görüşleri

  • Bir projede güvenilen kullanıcı olan birinin başka projelerde de otomatik olarak güvenilir sayılmasının riskli olduğunu düşünüyor
    Bu yapı tedarik zinciri saldırıları için suistimal edilebilir. Çünkü saldırgan, birden çok projede “iyi katkıcı” olarak güven kazandıktan sonra hedef projeye yaklaşabilir
    Bu tür çapraz güven otomatikleşirse, bir kez bile güven kazanmış hesaplar saldırıların hedefi olabilir. “Güven listesi” yerine “güvensizlik listesi” ile başlamanın daha güvenli olacağını savunuyor

    • Açıklamaya bakılırsa, bu sistemin amacı güvenliğin teknik anlamındaki güvenden çok, AI tarafından üretilen düşük kaliteli katkıları ayıklayan bir spam filtresine daha yakın görünüyor
    • Bu endişelerin biraz abartılı olduğu söyleniyor. Vouch yalnızca katılım iznini sınırlayan bir kapı; kod birleştirme yetkisi vermiyor. Sonrasında mevcut inceleme süreci aynen devam ediyor. Sonuçta bunu bir gürültü azaltma katmanı olarak görmek gerek
    • Saldırganların uzun süre iyi niyetliymiş gibi davranıp itibar biriktirmesi zaten bugün de olan bir şey. İnsanlar eninde sonunda değiştiklerini fark ediyor. Bu durum xkcd 810 gibi
    • Birisi güvenini kaybederse, ona güvenen tüm projelerde de bu güven kayboluyor. Bu, spam filtresi benzeri bir kavram; PGP anahtar imzası düzeyinde bir güven değil. Amaç devlet destekli saldırganları durdurmak değil, AI spam PR'larını engellemek
    • Mükemmel bir sistem değil ama “uğraşmaya değecek bir iyileştirme” olduğu düşünülüyor. Gerçek katkıcılar için biraz ek çaba harcamaya değer. Buna kendisinin de razı olduğu söyleniyor

  • PR göndermeye 1 dolarlık bir ücret konulmasının iyi olacağı düşünülüyor.
    PR geçerliyse bakımcı geri ödeme yapar.
    Bugün iletişim fazla kolaylaştığı için düşük kaliteli iletişim her yeri kaplamış durumda. Bu sadece değersiz değil, zaman emen bir zarar olarak görülüyor

    • Bu düşünce tarzının sonunda kripto dünyasındaki staking kavramına varacağı söyleniyor. Token kilitlenir, PR merge edilirse geri alınır. Teknik olarak zarif olabilir ama işin içine para girince ürün tasarımı yozlaşıyor. Bunun kesinlikle yapılmaması gerektiği savunuluyor
    • “Yorumumu okumak istiyorsan 1 dolar öde” şakası, fikrin özünü iyi yansıtıyor
    • İletişime maliyet yüklemenin olumsuz etkileri de olabilir. Önemli olan uygun maliyet dengesini bulmak. Yakın çevreden gelen “düşük kaliteli sohbet” tolere edilebilir ama siyasetçilerin Twitter iletişiminin azalması daha iyi olabilir
    • Bunun özünde maliyetin dışsallaştırılması sorunu olduğu söyleniyor. Üretim, iletişim, kod üretimi gibi her alanda görülüyor. Artık kişisel itibar bile neredeyse bedava hale gelmiş durumda
    • Böyle bir yapıda kendisinin hiç PR açmayacağı söyleniyor. Zaten birçok PR yanıtsız kalıyorken bir de para ödemek gerekirse, doğrudan fork üzerinde düzeltme yapacağını belirtiyor. İadeyi teşvik etmeyen bir yapı varsa bu daha da adaletsiz olur. Escrow hizmeti eklense bile iş karmaşıklaşıyor. Sadece bir bug düzeltmek isterken böyle bir süreçle uğraşmak istemiyor

  • Yeni katkıcıların ağları yoksa giriş bariyerini nasıl aşabilecekleri sorgulanıyor.
    AI kaynaklı gürültü çok olsa da, bunun çözüm olmadığı düşünülüyor

    • Kendi OSS projesinde PR’dan önce önerinin issue veya tartışma üzerinden gelmesini tercih ediyor. PR’lar çoğu zaman projenin yönüyle uyuşmadığı için reddetmesi zor durumlar yaratıyor
    • Katkıcıya yamayı görüntülü görüşmede açıklatma yöntemi de öneriliyor. Bu şekilde gerçekten sahte başvuru sahiplerini eledikleri olmuş. Bugünlerde FOSS neredeyse bir dolandırıcılık tespit oyununa dönmüş durumda
    • Yaklaşımın erişimi aşamalı olarak sınırlayan bir yapıya benzediği söyleniyor. Örneğin önce staging ortamında doğrulama yapılıp sonra production erişimi verilmesi gibi. Bu zaten ops dünyasında yaygın bir yöntem
    • Her şey Vouch yapılandırmasına bağlı. Bazı projeler tamamen kapatabilir, bazıları issue ve tartışmaları açık bırakıp sadece PR’ları sınırlayabilir. Linux’taki gibi her projenin kendi pratiğine göre yaklaşılabilir

  • “Açık kaynak güven ve doğrulama sistemi üstünde çalışır” ifadesine katılmıyor.
    İdeal durumda değerlendirme doğrudan kodun kendisi üzerinden yapılabilmeli.
    PR’a bakınca birkaç saniye içinde merge edilip edilmeyeceğine karar verdiğini söylüyor. Zor olan şey, reddetme gerekçesini kibarca yazmak.
    (Bkz: openpilot deposu)

    • Kısa süre önce openpilot koduna baktığını, msgq/cereal, Params, visionipc gibi yapıların ilginç olduğunu söylüyor
    • Zaman olduğunda inceleme yapılıyor, olmadığında ise güvene dayanılıyor

  • Vouch projesinin Bluesky benzeri kapalı bir balona dönüşmesini nasıl engelleyeceği merak ediliyor.
    Bluesky seçimden sonra küçülüyor. Bu tür sosyal filtreleme yeni katkıların önünü kesebilir

    • Seçim sonrası düşüş doğru olsa da, kullanıcı sayısının hâlâ öncekinden fazla olduğu belirtiliyor. İstatistiklere bakıldığında bunun bir sıçrama sonrası dengelenme modeli olduğu görülüyor.
      Ayrıca Vouch’un amacı zaten baştan giriş bariyerini yükseltmek olduğu için, bu sorunu pek dert etmeyebilir
    • Proje bazında bağımsız bir vouch sistemi kurulabilir. Topluluk issue ya da PR ile karşı görüş de sunabilir
    • “Bluesky benzeri bir balon oluşursa ne olacak?” sorusuna karşı, “Belki de amaç tam olarak budur” görüşü de var
    • Bluesky’de en çok engellenen hesaplardan birinin resmî devlet hesabı olması ilginç bulunuyor. Bu, kapalı toplulukların bir yüzünü gösteriyor

  • Böyle bir sistemin dramasız açık kaynak topluluklarında asla kötüye kullanılmayacağı yönünde alaycı bir yorum yapılıyor.
    Acaba bir kara liste geliştirici listesi bile paylaşılmış olabilir mi diye soruluyor

  • Güven temelli sistemlerin, çalışabilmesi için mutlaka risk içermesi gerektiği düşünülüyor.
    Birini ben kefil olmuşken o kişi sorun çıkarırsa, benim itibarım da zarar görmeli.
    Tersine, biri hakkında temelsiz suçlama yapıp o kişi aslında iyi çıkarsa, benim itibarım düşmeli.
    Aksi halde kefalet sorumsuzca suistimal edilir

    • Bu yüzden dikkatli olunması gerektiği söyleniyor. Ama birine kefil olunup iyi sonuç alınırsa kendi itibarının da artması mümkün olabilir. İnsan ilişkileri de böyle işliyor.
      Böyle bir yapı blockchain tabanlı güven grafiği olarak da kurulabilir
    • Şirkette referans göstermek gibi, birlikte çalışınca kendim de fayda sağladığım için kefil oluyorum deniyor
    • Kefil olunan kişi iyi katkılar yaparsa benim puanımın da arttığı bir sistem motive edici olabilir
    • Ancak böyle bir yapı, Epstein benzeri örneklerde olduğu gibi, çok bağlantısı var diye yanlış kişilere af çıkarma riski taşıyabilir. Tersine, içe dönük ama yetenekli insanlar dışlanabilir
    • Bu güven ağlarının bir graf arama problemi gibi ele alınabileceği söyleniyor. Güvendiğim kişinin güvendiği kişiler üzerinden dolaylı güven hesaplaması yapılabilir

  • Bu sistem bazılarına dating app gibi geliyor.
    Filtrelenmesi gereken çok sayıda aşırı istekli ama yetersiz aday var ve sonunda ücretli katılım, konum temelli yaklaşım, kimlik doğrulama, sosyal puanlama gibi kalıpların ortaya çıkacağı düşünülüyor.
    Bugünlerde GitHub itibarı kazanmak isteyen insanların anlamsız katkı taleplerini yağdırması yorucu bulunuyor

  • Git’in varsayılan olarak yapamadığı işlevleri ekleyen minimal bir forge yapısı hayal ediliyor.
    Temelde kimlik (Identity), imzalı beyan (Attestation) ve politika (Policy) var.
    Vouch bunlar arasında özellikle insanlar hakkındaki imzaları ele alıyor — “Bu kişi güvenilir” imzası, yapısal olarak “Bu commit testleri geçti” imzasıyla aynı.
    Yani bu, katılımın kendisini yöneten bir politika katmanı.
    Böyle bir özelliğin GitHub gibi kapalı platformlarda değil, repo içi metadata olarak bulunması gerektiği savunuluyor.
    5 yıl sonra bu fikrin nereye varacağının merak edildiği belirtiliyor

    • Bu metadata, .github/ klasörü gibi standart bir biçimde saklanırsa, platformdan bağımsız bir güven modeli mümkün olabilir.
      LLM tarafından üretilen kodun arttığı bir dönemde, bu tür bir itibar altyapısı internetin temel unsurlarından biri olabilir

  • İlk başta iyi görünse de, sonunda “yalnızca güvenilen kişiler katkı verebilir” yapısına vardığı düşünülüyor

    • Yenilikçi olmasından çok, iyi tasarlanmış uygulama gücü taşıması bakımından anlamlı bulunuyor
    • Eski Usenet killfile’ları ya da spam RBL listelerine benzetiliyor
      (killfile wiki, DNS blocklist)
    • Büyük ölçekli projelere bu yapının daha uygun olduğu düşünülüyor. Düşük kaliteli PR’ları varsayılan olarak engelleyip, yalnızca çekirdek bakımcılarla güven ilişkisi kurmuş kişilere erişim vermek hedefleniyor