მიტჩელ ჰაშიმოტომ (Mitchell Hashimoto), რომელიც ტექნოლოგიურ სამყაროში ცნობილია ისეთი პროექტებით, როგორიცაა Vagrant, Terraform, HashiCorp და ახლახანს გამოშვებული ტერმინალი Ghostty, ღია კოდის (Open Source) პროექტებისთვის ახალი ნდობის მართვის სისტემა — Vouch წარადგინა.
ახალი სისტემის დანერგვით, მეინთეინერებს (პროექტის წამყვანებს) შეუძლიათ შექმნან ნდობაზე დაფუძნებული გარემო, სადაც კონტრიბუტორებს კოდის გაგზავნამდე “თავდებში დგომა” (vouching) დასჭირდებათ.
სისტემა ასევე ითვალისწინებს არაკეთილსინდისიერი აქტორების დაბლოკვას “მხილების” (denouncement) ფუნქციით და ინახავს დაშვებული და დაბლოკილი კონტრიბუტორების მარტივ სიას (რომელიც .td ფაილის სახით ინახება).
Vouch-ის ერთ-ერთი მთავარი უპირატესობა ისაა, რომ სხვადასხვა პროექტების სანდო სიები შეიძლება გაერთიანდეს. ეს ქმნის ნდობის ქსელს, სადაც პროექტებს შეუძლიათ შეამოწმონ, არის თუ არა პიროვნება უკვე სანდო სხვაგან. შესაბამისად, კონტრიბუტორებს არ დასჭირდებათ თავიდან ნდობის მოპოვება თითოეული პროექტისთვის ცალ-ცალკე.
GitHub-თან ინტეგრაცია და მართვა
Vouch-ს აქვს GitHub-ის ინტეგრაცია, რომელსაც შეუძლია ავტომატურად დახუროს იმ მომხმარებლების Pull Request-ები (PR), რომლებსაც ნდობის სტატუსი არ აქვთ. მეინთეინერებს შეუძლიათ მიანიჭონ ან გააუქმონ ნდობა პირდაპირ კომენტარების საშუალებით. ასევე არსებობს CLI (ბრძანებათა სტრიქონის ინტერფეისი) სტატუსების შესამოწმებლად და სამართავად.
პროექტის FAQ-ში განმარტებულია, რომ ნდობის მოპოვება რთული არ უნდა იყოს. Vouch-ის მთავარი მიზანია დაბალი ხარისხის, “გამვლელი” კონტრიბუციების შეჩერება.
“ნდობის მოპოვება არ უნდა იყოს რთული. მთავარი, რასაც Vouch აკეთებს, არის დაბალი ძალისხმევის მქონე კონტრიბუციების პრევენცია. ჩემი პროექტებისთვის, უბრალოდ გაგვეცანით Issue-ში და აღწერეთ, რისი გაკეთება გსურთ. თუ ჯგუფში პრივილეგიებს ბოროტად გამოიყენებთ, დაგბლოკავთ.” — წერს ჰაშიმოტო.
საბოლოო ჯამში, Vouch არ აწესებს კონკრეტულ პოლიტიკას; წესებს თავად პროექტები განსაზღვრავენ.
ბრძოლა “AI ნაგვის” (AI Slop) წინააღმდეგ
საიდუმლო არ არის, რომ ე.წ. AI Slop-მა (AI-ს მიერ გენერირებულმა უხარისხო კოდმა) ღია კოდის სამყაროსაც მიაღწია. მეინთეინერები იძირებიან გენერირებულ სპამში. ერთი შეხედვით, ეს კოდი შეიძლება ნორმალურად გამოიყურებოდეს, მაგრამ მისი შემოწმება და უარყოფა ხშირად უფრო მეტ დროს მოითხოვს, ვიდრე თავად კოდის დაწერა.
მიტჩელის თქმით, ეს პრობლემა ახალია. ადრე, სანამ AI ინსტრუმენტები პოპულარული გახდებოდა, Pull Request-ის გასაკეთებლად კოდის წერა მართლა უნდა გცოდნოდათ. ეს ბარიერი “ნაგვის” დიდ ნაწილს ფილტრავდა.
მაგალითისთვის, ცოტა ხნის წინ პოპულარულმა ინსტრუმენტმა cURL-მა დახურა თავისი Bug Bounty პროგრამა, რადგან ისინი AI-ს მიერ გენერირებული რეპორტებით წალეკეს. ერთ კვირაში მათ 7 HackerOne რეპორტი მიიღეს სულ რაღაც 16 საათში, რაც ფიზიკურად შეუძლებელი იყო ხარისხიანი ყოფილიყო.
Vouch სწორედ ამ პრობლემას ებრძვის. იმის მაგივრად, რომ მეინთეინერებმა უსასრულოდ ამოწმონ უხარისხო კოდი, მათ შეუძლიათ შექმნან სანდო ადამიანების სია და მხოლოდ მათ კონტრიბუციებზე იმუშაონ.
წყარო: It’s FOSS
