IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Vouch : un système visant à maintenir la qualité de l'open source face à l'afflux de pulls requests de mauvaise qualité générées par l'IA,
Il permet de gérer la confiance dans les contributeurs à un projet

Le , par Mathis Lucas
0 commentaire

410PARTAGES

3  0 
Les projets open source sont submergés par des rapports de bogues et des pulls requests de mauvaise qualité rédigés par l'IA. Pour faire face à ce problème, le développeur Mitchell Hashimoto a mis au point un outil appelé Vouch. Il s'agit d'un système de gestion de la confiance communautaire. Il fonctionne en exigeant que les nouveaux contributeurs soient cautionnés par des contributeurs existants avant de pouvoir contribuer, et permet de dénoncer et de bloquer les contributeurs problématiques. L'intégration est simple via GitHub Actions, et le système est indépendant de la forge, laissant les critères de cautionnement à la discrétion de chaque projet.

Ces dernières années, le nombre de personnes utilisant les outils d'IA pour générer du code au lieu de l'écrire eux-mêmes a augmenté. Cependant, une grande partie du code généré par l'IA est de mauvaise qualité. En conséquence, le coût croissant de l'élimination du code de mauvaise qualité généré par l'IA est devenu un problème épineux pour les projets open source disposant déjà de peu de ressources et reposant sur la coopération communautaire.

Pour remédier à ce problème, le développeur de logiciels Mitchell Hashimoto a lancé un système appelé « Vouch » qui élimine les personnes soumettant du code de mauvaise qualité et maintient la qualité des projets open source. Il se dit lasser de jouer au chat et à la souris avec les rapports de mauvaise qualité.

Mitchell Hashimoto est un développeur et entrepreneur américain, connu pour être le cofondateur de HashiCorp, une entreprise spécialisée dans les outils d’infrastructure et de cloud computing. Il est l’auteur principal de projets open source très utilisés comme Vagrant, Terraform, Consul et Vault. Son travail se concentre notamment sur l’automatisation de l’infrastructure, la gestion des environnements de développement et la sécurité des systèmes distribués.

Vouch : un système de gestion de la confiance communautaire

Vouch introduit un modèle de confiance explicite. Un contributeur ne peut soumettre une pull request que s’il a été préalablement approuvé par un contributeur déjà reconnu comme fiable. « La légitimité n’est plus implicite, mais formalisée, ce qui inverse la logique par défaut de l’ouverture totale ». Vouch repose sur des actions GitHub. Une action vérifie automatiquement si l’auteur d’une pull request figure dans la liste des contributeurs approuvés.


D’autres actions GitHub permettent d’ajouter ou de retirer des contributeurs, en s’appuyant sur des décisions humaines documentées dans le dépôt. Les informations de confiance sont stockées dans un fichier texte unique, versionné avec le projet. Ce choix favorise la transparence, l’auditabilité et l’automatisation.

Citation Envoyé par Mitchell Hashimoto

L'open source a toujours fonctionné selon un système de confiance et de vérification. Historiquement, l'effort nécessaire pour comprendre un code source, mettre en œuvre des modifications et soumettre ces modifications pour examen était suffisamment important pour filtrer naturellement les contributions de mauvaise qualité provenant de personnes non qualifiées. Pendant plus de 20 ans, cette barrière à l'entrée a été suffisante pour la plupart des projets, le mien et d'autres.

Cependant, le développement récent de l'IA de génération de code a radicalement changé la situation, permettant aux personnes de publier facilement « du code de très mauvaise qualité qui semble plausible, mais qui ne reflète qu'une compréhension superficielle du projet.

Vouch permet également de réutiliser ces listes entre projets, ouvrant la voie à des réseaux de confiance partagés entre dépôts ayant des exigences similaires. La mise en œuvre est générique et peut être utilisée par n'importe quel projet sur n'importe quelle forge de code, mais Mitchell Hashimoto fournit une intégration GitHub prête à l'emploi via les actions GitHub et l'interface CLI. Vouch propose trois actions GitHub qui se présentent comme suit :

Check-pr

La première s’appelle « check-pr ». Elle s’exécute à chaque ouverture de pull request et vérifie automatiquement si l’auteur de la demande figure dans la liste des contributeurs approuvés (ou cautionnés). Si ce n’est pas le cas, la pull request est bloquée ou signalée comme non conforme.

Manage-by-discussion

La deuxième action est « manage-by-discussion ». Elle permet d’ajouter ou de retirer un contributeur de la liste de confiance à partir d’une discussion GitHub. Les décisions sont prises explicitement par les mainteneurs ou contributeurs autorisés et sont ensuite appliquées par l’action.

[SIZE=...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

0 commentaire
Commenter Signaler un problème