Vouch - Open-Source-System zur Vertrauensverwaltung für Contributoren

 (github.com/mitchellh)
9 Punkte von xguru 2026-02-09 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Open Source funktionierte traditionell auf dem Modell trust and verify
  • Durch die Verbreitung von AI-Tools sind die Eintrittsbarrieren für Beiträge faktisch verschwunden, sodass das bisherige implizite Vertrauensmodell nicht mehr funktioniert
  • Ein Open-Source-System zur Vertrauensverwaltung, das so konzipiert ist, dass eine Teilnahme nur möglich ist, wenn vor dem Beitrag explizit Vertrauen zugesichert (vouch) wird
  • Vertrauenswürdige Contributoren können andere Nutzer vouchen, und böswillige Akteure können mit denounce explizit blockiert werden
    • denounce bleibt als öffentlicher Eintrag erhalten, sodass andere Projekte dies als Referenz nutzen können
    • Wer wen und nach welchen Kriterien voucht oder denouncet, entscheidet jedes Projekt selbst
    • Das System erzwingt keine bestimmte Wertehaltung; politische Entscheidungen liegen bei der Community
  • Alle Vertrauensdaten werden in der Ablage als eine einzelne Klartextdatei (VOUCHED) zusammen mit dem Code versionsverwaltet, was Transparenz und Portabilität sicherstellt
  • Langfristig ist eine Struktur geplant, in der Vertrauensinformationen projektübergreifend über ein Vertrauensnetz (Web of Trust) geteilt werden
    • Ob Entscheidungen übergeordneter Projekte unverändert übernommen werden, entscheidet jedes untergeordnete Projekt selbst
    • Projekte, die leichtfertig vouchen oder denouncen, können auf natürliche Weise aus dem Vertrauensnetz ausgeschlossen werden
  • Lässt sich mit GitHub Actions einfach integrieren und kann über Keywords wie lgtm oder denounce in Issue- oder PR-Kommentaren verwaltet werden
  • Ghostty hat sein Beitragsmodell auf ein vouch-basiertes System umgestellt
  • Inspiriert vom Projekt Pi implementiert und derzeit noch in einer experimentellen Phase

Verfügbare Befehle

  • Lokale Datei
    • vouch.nu check <user>: Prüft den vouch-/denounce-Status eines Nutzers
    • vouch.nu add <user>: Nutzer vouchen
    • vouch.nu denounce <user>: Nutzer denouncen
  • GitHub-Integration
    • vouch.nu gh-check-pr <pr>: Status des PR-Autors prüfen und automatisch verarbeiten
    • vouch.nu gh-manage-by-issue <issue> <comment>: vouch/denounce auf Basis von Issue-Kommentaren

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.