Vouch - 오픈소스 컨트리뷰터 신뢰 관리 시스템

6 hours ago 3

오픈소스는 전통적으로 trust and verify 모델 위에서 작동해 왔음
AI 도구 확산으로 기여 진입 장벽이 사실상 사라져, 기존 암묵적 신뢰 모델이 더 이상 작동하지 않음
기여 전에 신뢰를 명시적으로 보증(vouch) 해야만 참여할 수 있도록 설계된 오픈소스 신뢰 관리 시스템
신뢰받은 기여자는 다른 사용자를 vouch할 수 있고, 악의적 행위자는 denounce(비난/고발하다) 로 명시적으로 차단 가능
- denounce는 공개 기록으로 유지되어 다른 프로젝트가 참고 가능
- 누가, 어떤 기준으로 vouch/denounce할지는 각 프로젝트 자율 결정
- 시스템은 특정 가치관을 강제하지 않으며, 정책 결정은 커뮤니티 몫
모든 신뢰 데이터는 저장소 내 단일 평문 파일(VOUCHED) 로 코드와 함께 버전 관리되며 투명성과 이식성 보장
장기적으로 프로젝트 간 신뢰망(Web of Trust) 형성을 통해 신뢰 정보를 공유하는 구조
- 상위 프로젝트의 판단을 그대로 수용할지 여부는 하위 프로젝트가 선택
- 무분별한 vouch/denounce를 하는 프로젝트는 신뢰 네트워크에서 자연스럽게 배제 가능
GitHub Actions로 간단히 연동 가능하며, 이슈나 PR 댓글에서 lgtm, denounce 같은 키워드로 관리 가능
Ghostty는 기여 모델을 vouch 기반 시스템으로 전환
Pi 프로젝트에서 영감을 받아 구현, 현재는 실험적 단계

제공되는 명령어

로컬 파일
- vouch.nu check <user>: 사용자 vouch/denounce 상태 확인
- vouch.nu add <user>: 사용자 vouch
- vouch.nu denounce <user>: 사용자 denounce
깃헙 연동
- vouch.nu gh-check-pr <pr>: PR 작성자 상태 확인 및 자동 처리
- vouch.nu gh-manage-by-issue <issue> <comment>: 이슈 댓글 기반으로 vouch/denounce