Açık kaynak dünyasının yazılı olmayan bir sosyal sözleşmesi vardır: “Eğer katkı yapacak kadar önemsiyorsan, muhtemelen iyi bir katkı yapacak kadar da özeniyorsundur.”
Eskiden bir projeye PR (Pull Request) göndermek emek isterdi. Kodu anlamanız, çalıştırmanız ve bir şeyleri düzeltmeniz gerekirdi. Bu “emek”, doğal bir filtreydi. Ancak Yapay Zeka (AI) bu bariyeri yerle bir etti. Artık hiç bilmediğiniz bir dilde, hiç anlamadığınız bir projeye, tek tıkla “düzeltme” gönderebiliyorsunuz. Sonuç? Bakımcıların (maintainers) üzerine yağan düşük kaliteli, bağlamsız ama “doğru görünen” kod yığını.
HashiCorp’un kurucusu Mitchell Hashimoto, bu soruna “daha iyi lint araçları” veya “daha sıkı CI kuralları” ile değil, sosyolojik bir araçla cevap veriyor: Vouch.
Vouch Nedir? “Koddan Önce İnsana Güven”
Vouch, açık kaynak projeler için bir güven yönetim sistemi. Mantığı çok basit ama radikal:
- Projeye herkes kafasına göre PR veya Issue açamaz.
- Katkı sağlayabilmek için, halihazırda güvenilen bir üye tarafından kefil olunması (vouched) gerekir.
- Kefil olunmuş (Vouched): Tam katılım sağlar.
- Kefil olunmamış: Kapı duvar.
- Reddedilmiş (Denounced): Engellenir.
Yani sistem, katkıyı (kodu) incelemeden önce, katkıyı yapan kişiyi (insanı) inceliyor. Filtreyi “kod kalitesi”nden “kişi güvenilirliği”ne çekiyor.
Neden Buna İhtiyacımız Var?
13 yıllık yazılım hayatımda şunu gördüm: Eskiden bir Junior geliştirici PR gönderdiğinde, arkasında bir öğrenme çabası olduğunu bilirdim. Şimdi ise o PR’ın 3 saniyede bir AI botu tarafından mı, yoksa gerçekten sorunu çözen bir insan tarafından mı gönderildiğini anlamak için benim dakikalarımı harcamam gerekiyor.
Vouch diyor ki: “Her gelen PR’ı incelemek zorunda değilsin. Önce kişiyi tanı, ona güven, sonra PR’larına bak.”
Nasıl Çalışıyor?
Sistem aslında projenin içinde duran basit, versiyon kontrollü bir metin dosyası.
- Güven Ağı: Ben bir geliştiriciye kefil olursam, o projeye katkı verebiliyor. Ama (burası önemli) o kişi başkasına kefil olamıyor. Güven zincirinin kontrolden çıkmasını engellemek için güzel bir fren mekanizması.
- Şeffaflık: Kimin kime kefil olduğu Git geçmişinde açıkça görünüyor. Gizli kapaklı iş yok.
- Ortak Güven: En ilginç yanı bu; projeler birbirinin güven listesini kullanabiliyor. “A projesinin güvendiğine ben de güvenirim” diyebiliyorsunuz.
Bu Bir “Kapı Tutma” (Gatekeeping) Değil mi?
İlk bakışta öyle görünüyor. “Açık kaynak hani herkese açıktı?” diyebilirsiniz. Ancak Mitchell’in bu deneyi, “sınırsız erişim” ile “sürdürülebilir işbirliği” arasındaki o ince çizgide duruyor.
AI çağında, sınırsız ve filtresiz erişim, projeleri spam ve gürültüye boğup asıl geliştiricileri küstürecekse, belki de “Bilinçli Açıklık” (Intentional Openness) kavramına geçmemiz gerekiyordur.
Sonuç: Araçlar Değişiyor, Sorun Hep İnsan
Vouch henüz çok yeni ve deneysel (Mitchell kendi terminal projesi Ghostty’de kullanıyor). Tutup tutmayacağını zaman gösterecek.
Ama bize şunu hatırlatması açısından çok değerli: Yazılım geliştirme teknik bir iş gibi görünse de, temeli insan ilişkilerine ve güvene dayanır. AI kod yazabilir, ama “güven” inşa edemez.
Görünen o ki, geleceğin açık kaynak dünyasında “GitHub yıldızları”ndan çok, “Kimin sana kefil olduğu” daha önemli hale gelecek.
Kaynak: Richard Pascoe – Vouch: Mitchell Hashimoto’s experiment in restoring trust to open source
