Welchen Wert haben GitHub-Stars?
GitHub selbst ist ein Social Network für Entwickler*innen. Ob du es wahrhaben willst oder nicht. Man interagiert miteinander, kann sich gegenseitig folgen und Likes werden in Form von Stars ausgedrückt. Das bringt mich zu der Frage: Welchen Wert haben eigentlich GitHub Stars? Denn Fraud in Social Networks, wie das Kaufen von Followern, ist so alt wie die Existenz solcher Plattformen.
Wie sieht es also auf GitHub damit aus? In dieser Episode schauen wir uns eine wissenschaftliche Untersuchung zum Thema Fake Stars auf GitHub an. Was sind GitHub-Stars wert? Aus welcher Motivation heraus kaufen sich Leute eigentlich GitHub Stars? Welche Herausforderungen gibt es, Fake Stars zu erkennen? Wie werden GitHub Stars eigentlich genutzt?
Aber bei der wissenschaftlichen Untersuchung bleibt es nicht. Wir haben die Community gefragt, welche Bedeutung GitHub Stars für sie haben, ob Stars ein guter Indikator für die Qualität eines Projekts sind, wie diese Entscheidungen beeinflussen und nach welchen Kriterien die Community Stars vergibt.
Zwei kleine Sneak-Peaks:
- Einen GitHub Star kannst du auf dem Schwarzmarkt bereits für $0.10 kaufen
- Das Kaufen von GitHub Stars beeinflusst das organische Stars-Wachstum von Repositories innerhalb der ersten zwei Monate. Danach flacht es ab.
Du willst mehr davon? Dann schalte jetzt ein.
Bonus: GitHub als Social Network für Entwickler.
Ein Dank an unsere Community-Mitglieder:
- Dario Tigner
- Schepp Christian Schäfer
- Philipp Wolfram
- Moritz Kaiser
- Stefan Brandt
- Simon Brüggen
- Melanie Patrick
- Maxi Kurzawski
- Stefan Bethe
- Tim Glabisch
- Holger Große-Plankermann
- Mirjam Ziselsberger
- Simon Legner
Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners
Das schnelle Feedback zur Episode:
Anregungen, Gedanken, Themen und Wünsche
Dein Feedback zählt! Erreiche uns über einen der folgenden Kanäle …
- EngKiosk Community: https://engineeringkiosk.dev/join-discord
- LinkedIn: https://www.linkedin.com/company/engineering-kiosk/
- Email: stehtisch@engineeringkiosk.dev
- Mastodon: https://podcasts.social/@engkiosk
- Bluesky: https://bsky.app/profile/engineeringkiosk.bsky.social
- Instagram: https://www.instagram.com/engineeringkiosk/
Unterstütze den Engineering Kiosk
Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns immer
- Buy us a coffee: https://engineeringkiosk.dev/kaffee
Links
- Paper “4.5 Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Scams, and Malware”: https://arxiv.org/abs/2412.13459
- Starred Projekte auf Gitlab: https://gitlab.com/explore/projects/starred
- Starred Projekte auf Codeberg: https://codeberg.org/explore/repos?q=&only_show_relevant=true&sort=moststars
- StarScout (Find suspicious (and possibly faked) GitHub stars at-scale): https://github.com/hehao98/StarScout
- 3.7 Million Fake GitHub Stars: A Growing Threat Linked to Scams and Malware: https://socket.dev/blog/3-7-million-fake-github-stars-a-growing-threat-linked-to-scams-and-malware
- CopyCatch: Stopping Group Attacks by Spotting Lockstep Behavior in Social Networks: https://research.facebook.com/publications/copycatch-stopping-group-attacks-by-spotting-lockstep-behavior-in-social-networks/
Sprungmarken
Hosts
- Wolfgang Gassler (https://gassler.dev)
- Andy Grunwald (https://andygrunwald.com/)
Community
Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen in unserer Engineering Kiosk Community unter https://engineeringkiosk.dev/join-discord
Transkript
Andy Grunwald (00:00:03 - 00:00:10) 
Willkommen zu einer neuen Podcast Episode vom Engineering Kiosk. Welchen Wert haben GitHub Stars? GitHub selbst ist ein Social Network für.
Wolfi Gassler (00:00:10 - 00:00:16)
Entwickler innen, ob du es wahrhaben willst oder nicht. Man interagiert miteinander, kann sich gegenseitig folgen.
Andy Grunwald (00:00:16 - 00:00:31)
Und Likes werden in Form von Stars ausgedrückt. Das bringt mich zu der Welchen Wert haben eigentlich GitHub stars? Denn Fraud in Social Networks, wie das Kaufen von Followern in ist so alt wie die Existenz solcher Plattformen. Wie sieht es also auf GitHub damit aus?
Wolfi Gassler (00:00:31 - 00:00:33)
In dieser Episode schauen wir uns eine.
Andy Grunwald (00:00:33 - 00:01:22)
Wissenschaftliche Untersuchung zum Thema Fake stars auf GitHub an. Was sind GitHub stars wert? Aus welcher Motivation heraus kaufen sich Leute eigentlich GitHub stars? Welche Herausforderungen gibt es, Fake Stars zu erkennen? Wie werden GitHub stars eigentlich genutzt? Aber bei der wissenschaftlichen Untersuchung bleibt es nicht. Wir haben die Community gefragt, welche Bedeutung GitHub stars für sie haben, ob Stars ein guter Indikator für die Qualität eines Projektes sind, wie GitHub Stars Entscheidungen beeinflussen und nach welchen Kriterien die Community eigentlich die Stars vergibt. Zwei kleine Sneak Peeks Einen GitHub Star kannst du auf dem Schwarzmarkt bereits für zehn Cent kaufen. Und Das Kaufen von GitHub Stars beeinflusst das organische Stars Wachstum von Repositories innerhalb der ersten zwei Monate. Danach flacht es ab. Du willst mehr davon dranbleiben? Denn das und und noch viel mehr haben wir für dich in dieser Episode. Viel Spaß.
Wolfi Gassler (00:01:28 - 00:01:33)
Wolfgang, ich habe eine sehr intime Frage an bist du ein Star Gazer?
Dario Tigner (00:01:33 - 00:01:34)
Ein was?
Wolfi Gassler (00:01:34 - 00:01:35)
Ein Stargazer.
Dario Tigner (00:01:36 - 00:01:37)
Ich kann Stargate.
Wolfi Gassler (00:01:37 - 00:01:42)
Das ist auch eine andere Frage, die mich aber auch interessiert. Bist du so der Star Wars oder stargate Typ?
Dario Tigner (00:01:42 - 00:01:43)
Star Trek meinst du?
Wolfi Gassler (00:01:43 - 00:01:48)
Merkst du was? So weit bin ich schon entfernt. Aber Star Wars oder Star Trek?
Dario Tigner (00:01:48 - 00:01:51)
Gibt es da nur entweder oder? Ich kann sie auseinanderhalten.
Wolfi Gassler (00:01:51 - 00:01:57)
Immerhin, das ist so wie früher. Du warst entweder Fan von den Toten Hosen oder Fan von den Ärzten. Aber nie beides.
Dario Tigner (00:01:57 - 00:02:08)
Aber wie das auch bei den Ärzten und bei den Hosen ist, im Alter kann sich alles ändern. Mittlerweile sind die befreundet. Kann man Fan von beiden sein. In meinem Alter ist man dann auch Fan von Star Trek und Star Wars.
Wolfi Gassler (00:02:08 - 00:02:21)
Wie hat's denn angefangen mit Star Trek? Du meine Güte. Ich glaube, wir müssen jetzt den Podcast hier beenden, weil ich war nämlich immer Star Wars. Aber das schieben wir zur Seite. Zurück zur bist du ein Star Gazer?
Dario Tigner (00:02:21 - 00:02:22)
Was ist ein Star Gazer?
Wolfi Gassler (00:02:22 - 00:02:32)
Ein Star Gazer ist jemand, der einen GitHub Star verteilt hat. So wie jemand, der in Deutschland lebt, ein Deutscher ist. Bist du ein Star Gazer? Wenn du einen GitHub Star verteilt hast.
Dario Tigner (00:02:32 - 00:02:34)
Also einer reicht schon, ein Star.
Wolfi Gassler (00:02:34 - 00:02:42)
Wenn ich jetzt auf ein Repository bei mir gehe und schaue, wer mir einen Star gegeben hat, dann nennt man diese Liste an Leuten Star Gazer.
Dario Tigner (00:02:42 - 00:02:44)
Heißt der Button auch so?
Wolfi Gassler (00:02:44 - 00:02:45)
Der API Call heißt so.
Dario Tigner (00:02:46 - 00:02:47)
Dann bin ich wohl ein Stargazer. Ja.
Wolfi Gassler (00:02:47 - 00:02:50)
Wie viel stars hast du verteilt bisher?
Dario Tigner (00:02:50 - 00:02:59)
Ich habe jetzt gerade zum Beispiel einen verteilt an unser internes Metadaten Repository, wo alle unsere Episoden und Metadaten davon drin liegen.
Wolfi Gassler (00:02:59 - 00:03:02)
Geh doch jetzt mal gerade kurz bitte auf GitHub com stars.
Dario Tigner (00:03:02 - 00:03:07)
Das können jetzt alle, während ich das mache, auch machen. Wow, da ist wirklich eine Übersicht.
Wolfi Gassler (00:03:07 - 00:03:10)
Wie viel stars hast du verteilt? Oben rechts müsste all Stars stehen.
Dario Tigner (00:03:11 - 00:03:12)
Ein und dreiig.
Wolfi Gassler (00:03:12 - 00:03:21)
Okay, du bist ein sehr schwacher Stargazer. Mein Score ist bei ein tausend vier hundert neunzehn. Also anscheinend stare ich etwas öfter als du.
Dario Tigner (00:03:21 - 00:03:25)
Ja, das ist halt Qualität. Was heißt Quantität, würde ich sagen.
Wolfi Gassler (00:03:25 - 00:03:32)
Du sagst also, dass es insgesamt neun und dreiig qualitative repositories auf GitHub gibt?
Dario Tigner (00:03:32 - 00:03:40)
Na, aber das heißt halt, ich schaue viel mehr auf Qualität anstatt auf Quantität. Ich gebe nicht jedem so ein Star. Das muss man sich schon verdienen.
Wolfi Gassler (00:03:40 - 00:04:26)
Okay, Wolfgang, Stars sind anscheinend elitäre Stars. Okay. Oder bessere Stars als meine. Okay, wie dem auch sei, heute geht es aber um Stars und heute geht es auch um viele Stars, denn wir besprechen mal wieder ein Paper aus unserer Linie Papers we love. Schauen wir mal, ob wir dieses Paper auch lieben werden. Das letzte Paper hat leider nicht ganz so gut abgeschnitten, aber heute geht es um ein Paper zum Thema Fake stars. Und zwar hat ein Research Team ganz viele Repositories untersucht und dann mal detailliert drauf geschaut, wer hat eigentlich diese Repositories gestartet und sind das valide Stars oder sind das Fake stars? Und was dabei rausgekommen ist, werden wir gleich schauen. Das Paper nennt sich aber schon mal.
Schepp Christian Schäfer (00:04:26 - 00:04:28)
Vier Komma fünf Millionen Fake Stars in.
Wolfi Gassler (00:04:28 - 00:04:32)
GitHub detected a growing spiral of popularity.
Schepp Christian Schäfer (00:04:32 - 00:04:35)
Contest scams and malware.
Wolfi Gassler (00:04:35 - 00:04:45)
Fangen wir mal ganz vorne an. Warum ist diese Analyse von GitHub stars überhaupt relevant? Somit kommen wir zur ersten Wolfgang, Denkst du, GitHub ist ein Social Network?
Dario Tigner (00:04:45 - 00:05:11)
Ja, ich glaube, sie würden gern ein Social Network sein, weil es gibt ja auch die Profile, man kann Profilbilder aufladen, es gibt die Sterne, man kann nachschauen, wer was wo geliked hat, gestartet hat, besser gesagt, gefolgt hat. Es gibt auch diese Badges. Keine Ahnung, was die eigentlich bedeuten. Ich sehe nur immer irgendwo diese Badges. Noch mir nie damit beschäftigt, muss ich ganz ehrlich zugeben. Also ist so ein Möchtegern Social Network.
Wolfi Gassler (00:05:11 - 00:05:17)
Was fehlt denn zu einem richtigen Social Network, wenn du sagst es ein Möchtegern Social Network?
Dario Tigner (00:06:17 - 00:06:18)
Interaktion.
Wolfi Gassler (00:06:18 - 00:06:31)
Meines Erachtens nach ist GitHub nämlich ein Social Network, denn die Elemente, die du gerade genannt hast, Stars, Badges oder sogar Forks, Diskussionen, gibt es ja in Repositories und das ist die Interaktion.
Schepp Christian Schäfer (00:06:31 - 00:06:32)
Engagements.
Wolfi Gassler (00:06:32 - 00:06:56)
Meines Erachtens nach sind das alle Social Media like Features, wenn man so möchte. Und deswegen würde ich sagen, das ist nämlich ein Social Network für Entwickler, denn im Endeffekt handelt es sich dabei lediglich um ein Beliebtheit Signal. Also andere Nutzer erhalten oder verteilen Aufmerksamkeit durch entweder Teilnahmediskussion, durch Likes, durch Sponsorings, durch Forks, durch Stars.
Schepp Christian Schäfer (00:06:56 - 00:07:02)
Und im Endeffekt ist ja ein Retreat oder einen LinkedIn like ja nichts anderes. Engagement Boosting.
Wolfi Gassler (00:07:02 - 00:07:11)
Denn wenn ich dir einen Star gebe, dann kannst du auf GitHub com explore das Repository auch sehen, was die meisten Stars bekommen hat.
Schepp Christian Schäfer (00:07:11 - 00:07:13)
Und das ist ja schon Engagement Boosting und Co.
Dario Tigner (00:07:13 - 00:07:15)
Ist dann Hacker News auch ein Social Network?
Wolfi Gassler (00:07:16 - 00:07:21)
Bei Hacker News kann man sich nicht folgen, bei GitHub schon. Ich glaube, die Vernetzung fehlt.
Dario Tigner (00:07:21 - 00:07:23)
Bei Hacker News kannst du einer Person folgen.
Wolfi Gassler (00:07:23 - 00:07:35)
Ach, ich bitte dich, mit wem spreche ich denn jetzt hier? Hat der Wolfgang jemals schon mal irgendeinen Code auf GitHub gepusht? Das schneidest du bitte nicht raus, Wolfgang, das bleibt bitte drin, wenn das rausfliegt.
Dario Tigner (00:07:35 - 00:07:37)
Kann ich nachschauen, ob ich jemandem folge?
Schepp Christian Schäfer (00:07:37 - 00:07:38)
Ja, kannst du.
Wolfi Gassler (00:07:38 - 00:07:46)
Du gehst bitte auf dein Profil und dann steht unter deinem Sponsor Dashboard steht Followers und Following und da kannst du draufklicken.
Dario Tigner (00:07:46 - 00:07:49)
Ich folge sogar vier Leuten, du bist nicht dabei.
Wolfi Gassler (00:07:49 - 00:07:58)
Der Wolfgang findet gerade heraus, dass er Mitglied eines Social Networks ist, das sich GitHub nennt. Ich bin stolz, bei dieser Erkenntnis dabei gewesen zu sein.
Dario Tigner (00:07:58 - 00:08:05)
Gib mehr Followers, Leute, denen ich folge. Ich hab auch so Badges. Vielleicht sollte ich mich wirklich mal damit beschäftigen.
Wolfi Gassler (00:08:06 - 00:08:13)
Ich möchte dich jetzt nicht peinlich dastehen lassen, aber denkst du, es gibt das Feature von Stars, also von GitHub Stars auch auf anderen Plattformen?
Dario Tigner (00:08:13 - 00:08:20)
Natürlich weiß ich das, weil wir haben viel zu wenig Stars auf Spotify und Apple auf den Podcast Plattformen. Möchte ich nur mal so anmerken. Hint, hint.
Wolfi Gassler (00:08:20 - 00:08:28)
Okay, ich Grenze meine Frage ein bisschen gibt es das Feature stars auch auf anderen Code Kollaborationsplattformen?
Dario Tigner (00:08:28 - 00:08:47)
Ja, gibt es natürlich, aber auch nur aufgrund der Research für diesen Podcast, weil persönlich treibe ich mich ehrlich gesagt auf keinen von diesen Plattformen rum. Bist du irgendwie auf GitLab, Codebug, BitBucket oder solchen Plattformen überhaupt unterwegs? Und jetzt nicht nur zufällig mal einmal draufgekommen, sondern wirklich aktiv.
Wolfi Gassler (00:08:48 - 00:09:09)
Ich bin auf BitBucket unterwegs und ich bin ab und zu mal auf GitLab unterwegs, aber auf Codework bin ich nicht unterwegs. Aber zu der Research für diesen Podcast habe ich nachgeguckt und da muss ich jetzt wirklich zugeben, ich wusste nicht, ob Stars auch auf GitLab existieren oder auf Codework. Aber die Antwort ist folgende, GitLab hat ebenfalls Stars, die werden aber ganz, ganz.
Schepp Christian Schäfer (00:09:09 - 00:09:11)
Wenig genutzt, denn auch die Explore Page.
Wolfi Gassler (00:09:11 - 00:09:27)
Bei denen ist super leer, muss man zugeben. Codeberg hat ebenfalls das, da wird es noch weniger genutzt. Dann nennt man Stars Favoriten, ist glaube ich auch so der bessere Name, denn so wie ich das jetzt herausgefunden habe, werden stars of Bookmarks genommen.
Dario Tigner (00:09:27 - 00:09:39)
Naja, Moment, aber das ist dann schon was anderes. Also für mich persönlich war das was anderes. Nur weil Stars missbraucht werden als Bookmar, heißt es ja nur, dass es eigentlich Bookmarks sind. Also Star und Bookmarken ist eigentlich schon nochmal ein Unterschied.
Wolfi Gassler (00:09:39 - 00:09:41)
Ja, ja, aber die werden halt so missbraucht.
Dario Tigner (00:09:41 - 00:09:53)
Ja, ja, klar, klar. Bei Bitbuckel bin ich ja nur, weil die das eins GB Limit nicht haben, was GitHub hat. Also da liegen so eins, zwei, drei Repositories, alte von mir, wo sehr viele Daten drin sind, große Daten.
Wolfi Gassler (00:09:53 - 00:10:14)
Wolfgang ist also einer, der nutzt die Code repositories immer als Backup Storage. Oje, schwierig. Nun gut, aber ne, bei BitBucket gibt es Stars nicht, da gibt es ein Ticket in deren Jira zu. Bei den anderen Plattformen wie Gox, Gitea und Launchpad habe ich jetzt nicht nachgeschaut, aber da würde ich mal sagen, die haben nicht so eine große Verbreitung.
Dario Tigner (00:10:14 - 00:10:25)
Okay, jetzt wissen wir, dass es woanders auch Stars gibt. Kommen wir zurück zu GitHub. Warum sind GitHub stars so wichtig und warum will man die vielleicht auch haben als Repository?
Andy Grunwald (00:10:25 - 00:10:26)
Wenn wir sagen, wenn wir uns jetzt.
Wolfi Gassler (00:10:26 - 00:10:37)
Endlich darauf einigen, dass GitHub ein Social Network ist, ein Social Network für Entwickler, dann kann man Stars ähnlich wie Likes und Abonnenten, wie auf Instagram und Co. Sehen. Somit ist ein Engagement als Währung quasi.
Dario Tigner (00:10:37 - 00:10:42)
Oder Währung für, dass ich gut bin, dass ich toll bin, dass mein Repository toll ist.
Wolfi Gassler (00:10:42 - 00:10:45)
Ja, ich würde fast sagen, auf GitHub gibt es auch Entwickler, die so als.
Schepp Christian Schäfer (00:10:45 - 00:10:48)
Dev Influencer gelten, populäre Entwickler, denen vielen.
Wolfi Gassler (00:10:48 - 00:10:57)
Leuten folgen und so weiter. Und wenn die ein neues Repository machen, dann kriegen die Repositories von den populären Entwicklern auch sehr viele Stars. Also im Endeffekt würde ich sagen, ja.
Schepp Christian Schäfer (00:10:57 - 00:10:58)
Das ist eine Währung.
Wolfi Gassler (00:10:58 - 00:11:31)
Und jetzt könnte man natürlich gucken, okay, was bringt mir das denn, wenn ich solche populären Repositories habe, denn wenn etwas populär ist, dann ist das natürlich eine tolle Sache und jeder freut sich. Aber es gibt natürlich auch immer eine Schattenseite. Und diese Schattenseiten haben wir in letzter Zeit natürlich auch so ein bisschen, ich sag mal, gesehen, zum Beispiel für Software Supply Chain Attacks, also Repositories mit einem hohen Star Count sind natürlich auch so ein Anziehfaktor, auch für Security Researcher. Okay, da schaue ich mal rein, da.
Schepp Christian Schäfer (00:11:31 - 00:11:32)
Scheint viel los zu sein.
Wolfi Gassler (00:11:32 - 00:12:15)
Wenn ich da etwas finde, dann ist mein Name vielleicht auch mal auf Heise und so weiter. Also auch für Hacker und für Attacker, aber auch für Security Researcher ist das ein guter Anziehpunkt. Im Endeffekt kann man sagen, GitHub stars ist halt schon ein Zeichen für Popularität, wo man hingegen natürlich sagen muss, dass GitHub Stars nicht gut korreliert mit der Anzahl der Downloads oder der tatsächlichen Installation. Habe ich ja gerade gesagt. Wenn irgendein populärer Entwickler ein neues Repository macht, kriegt er einfach fünf hundert Stars, ohne dass sich da jemand überhaupt mal git clone gemacht hat. Und die sagen natürlich auch nichts aus über die Nachhaltigkeit oder Lebensdauer eines Projekts. Wir hatten damals zum Beispiel diesen VW Skandal in Deutschland, der, glaube ich, diese.
Schepp Christian Schäfer (00:12:15 - 00:12:18)
Diesel Testergebnisse etwas verfälscht.
Wolfi Gassler (00:12:18 - 00:12:37)
Danach gab es ein Repository, welches dein Ci immer grün erscheinen gelassen hat, egal ob das Ding kompiliert hat oder nicht, egal ob die Unittest erfolgreich waren oder fehlgeschlagen waren. Ob das Repository jetzt nachhaltig ist oder eine lange Lebensdauer haben sollte, weiß ich nicht. Das Repository hatte aber auf jeden Fall eine ganze Menge Stars, weil es echt lustig war.
Dario Tigner (00:12:37 - 00:14:04)
Wenn man aber nicht so lustig drauf ist, dann gibt es natürlich auch eine andere Möglichkeit. Und es gibt sie eigentlich überall. Man kennt es ja, man kann LinkedIn Likes kaufen, man kann Instagram Follower kaufen, man kann YouTube Follower kaufen. Also es ist ja eigentlich nichts Neues. Sobald es irgendwie so eine Währung gibt, gibt es auch einen Schwarzmarkt dafür, wo man sich das Ganze kaufen kann. Und mir war es zumindest neu, ehrlich gesagt, bevor dieses Paper rauskam, dass es das für GitHub auch gibt und dass GitHub stars auch so wertvoll sind. Vor allem, weil man ja denkt, das ist alles Open Source und in dieser Open Source Szene geht es ja um andere Dinge und die ist immer gut. Aber scheinbar gibt es da eben auch einen Black Market dafür. Und für so einen Star zahlt man so um die zehn, zwanzig Cent in der Gegend. Kann natürlich auch höher sein, je nachdem, wahrscheinlich je nach Qualität. Aber in dem Bereich im unteren Euro Bereich bewegt sich es üblich und man kann da relativ schnell innerhalb kürzester Zeit, also instant im Prinzip oder je nach Qualität, es ist dann natürlich auch teurer, wenn man qualitativere Stars haben will, dauert es auch zwei, drei, vier Wochen, zahlt man dann auch dementsprechend mehr. Aber man kann sich diese Stars auch kaufen. Und was mich jetzt natürlich beschäftigt hat, ist eben die Open Source Welt. Warum sollte ich mir eigentlich Stars kaufen? Es ist zwar nett, irgendwie die Größe zu haben und vielleicht, wenn ich dann Influencer bin, da irgendwie mehr Stars zu haben, aber ist es mir das wirklich wert? Macht es Sinn, Geld auszugeben für Stars?
Wolfi Gassler (00:14:04 - 00:14:45)
Ja, das ist dieselbe Frage. Wie macht es Sinn, bei einer Engagement Farm bei LinkedIn dabei zu sein, wenn ich der Trump bin und Fake News verbreiten möchte? Also ich meine, im Endeffekt kannst du, kannst du aus der aus der Ecke der Bösewichte nachdenken. Und wenn wir sagen, GitHub ist ein Social Network, wenn wir sagen, dass wenn Repositories sehr viele Stars in sehr kurzer Zeit bekommen, dass dann ein Algorithmus sie aufnimmt und diese Repositories anderen Leuten vorschlägt, was nämlich GitHub auch macht, dann ist das natürlich der Trigger, hey, ich kaufe mir die GitHub stars und mach zum Beispiel ein Repository, was mal wer drin hat, ein Virus oder ähnliches und das.
Schepp Christian Schäfer (00:14:45 - 00:14:47)
Haue ich in den Explore Algorithmus mit.
Wolfi Gassler (00:14:47 - 00:15:12)
Ganz vielen Githubs oder ich spam da einfach rum. Ich mache vielleicht eine Repository, einfach nur Werbung, vielleicht ist einfach nur kauf dieses Auto oder kauf diesen Bitcoin, ganz viel Krypto Kram oder Growth Hacking kann ja auch sein. Es gibt ziemlich viele Startups, die kaufen GitHub Sterne, um ihre Open Source Projekte irgendwie zu bewerben. Denn auch Venture Capitalists und Investoren beziehen sich auf GitHub Sterne für die Lebensfähigkeit von Produkten. Also nach dem Motto, wenn jetzt irgendein.
Schepp Christian Schäfer (00:15:12 - 00:15:14)
Neues Database as a Service Startup rauskommt.
Wolfi Gassler (00:15:14 - 00:15:49)
Und die machen ihre Datenbank open source, dann sieht das natürlich besser aus, wenn man Stars hat versus fünf Stars. Ganz klar. Aber auch zumindest so wurde es im Paper so genannt, Entwickler, die ihren Lebenslauf ein bisschen aufhübschen wollen. Ich habe ein Repository, was ein tausend Stars hat. Finde ich auch mal eine schöne, eine schöne Story. Und wenn man das natürlich so weiterdenkt, dann hat das natürlich auch wirklich echt schwierige Auswirkungen, denn im Endeffekt minimiert das weiterhin den Wert eines Stars, aber es ist auch ein Security Risiko für alle GitHub User. Denn wenn du dir auf die Explore.
Schepp Christian Schäfer (00:15:49 - 00:15:53)
Page gehst und hast mal gerade mal zehn, fünfzehn, zwanzig Minuten, willst dich einfach.
Wolfi Gassler (00:15:53 - 00:15:55)
Nur mal inspirieren lassen, was gerade so.
Schepp Christian Schäfer (00:15:55 - 00:15:57)
Up to date ist, was geht gerade.
Wolfi Gassler (00:15:57 - 00:16:09)
So ab im Internet und so weiter. Und du siehst halt irgendwie fünf und dreiig Krypto Scam Malware Repositories, die irgendwie nach oben geboostet wurden, weil die sich Stars gekauft haben. Heißt dann auch immer natürlich schwierig, was.
Dario Tigner (00:16:09 - 00:16:47)
Das Paper übrigens dann auch beschreibt, ob Growth Hacking funktioniert, also als kleiner Hook dabei bleiben. Wir werden es auch noch später behandeln, ob das wirklich funktioniert und langfristig auch zum Ziel führt. Aber bleiben wir mal bei dem Kaufen von Stars bzw. Dann auch beim Erkennen von solchen gefakten, gekauften Stars. Kannst du mal kurz erklären, wie das Paper bzw. Die Wissenschaftler habe übrigens auch gerade gelernt, in Österreich sagt man Wissenschaftler und in Deutschland Wissenschaftler war übrigens eine Frau, die Hauptautorin. Aber Andy, erklär mal, wie das Team um diese Hauptautorin vorgegangen ist, um das zu entdecken, die gefakt waren.
Wolfi Gassler (00:16:47 - 00:16:54)
Ja, du hast ja gerade schon was von qualitativem GitHub Stars gesprochen. Da fragt man sich natürlich was genau.
Dario Tigner (00:16:54 - 00:16:55)
Meine ein und dreiig.
Wolfi Gassler (00:16:55 - 00:17:17)
Ja, was sind denn eigentlich qualitative GitHub stars? Also ich meine, die Herausforderung von der Erkennung von Fake Stars ist eigentlich dieselbe wie die Erkennung von Fake Twitter Accounts, gefakten Interaktionen auf LinkedIn und so weiter. Im Endeffekt hat man natürlich auf der einen Seite irgendwelche Bots, automatisch erstellte Accounts.
Schepp Christian Schäfer (00:17:17 - 00:17:19)
In der Regel sind das dann Accounts.
Wolfi Gassler (00:17:19 - 00:17:32)
Die kein ordentliches Avatar Bild haben, wenig Informationen haben, vielleicht gerade erst frisch erstellt wurden, vielleicht sogar auch nur ein Repository gestartet und geforkt haben, aber nie Code gepusht haben. So was halt.
Dario Tigner (00:17:32 - 00:17:57)
Was ich mir übrigens ziemlich schwer auch vorstelle, weil wenn ihr zurückdenkt an meine Anfangszeit, ich habe halt auch einfach so ein GitHub Profil gehabt und kein Profilbild und bin da glaube ich, echt jahrelang ohne ein Profilbild oder ich habe, glaube ich, immer nur dasselbe uralte Profilbild und hin und wieder starten wir mal was. Also ist glaube ich, gar nicht so leicht zu erkennen, weil viele User einfach nicht aktiv sind auf GitHub und trotzdem einen User haben.
Wolfi Gassler (00:17:57 - 00:18:44)
Ja, und da stellst du die Herausforderung so nach dem Motto ich habe ja Criteria gerade genannt von einem Account und jetzt ist die ist das ein wirklicher Mensch? Ist das ein Wolfgang aus Tirol, aus Innsbruck, der einfach nur zu faul war, irgendwas einzugeben oder ist das ein Bot? Dann gibt es natürlich Crowdsourced Humans, das ist eigentlich so eine Art, hast du bestimmt schon mal bekommen, so E Mails von irgendwelchen Researchern, so hey, ich habe jetzt hier dieses neue Repository, vielleicht möchte sie mir mal Star da lassen oder ähnliches. Das machen die meist, wenn du Kubernetes gestartet hast, dann nehmen die sich alle Star Gazer via API, holen sich dann die Public e Mail Adresse, schreiben die an und sagen, hey, ich habe gesehen, du hast Kubernetes geliked, da hinten habe ich einen neuen Load Balancer für Kubernetes geschrieben, vielleicht ist das auch was für dich. Vielleicht startet.
Dario Tigner (00:18:45 - 00:18:46)
Aber da könnte man ja fast sagen.
Wolfi Gassler (00:18:46 - 00:19:23)
Das ist Marketing, ja, oder illegaler Spam, weil du, ist eigentlich eine cold E Mail, wenn du so möchtest, ist aber so eine Art Crowdsource Human. Ob das Marketing ist, weiß ich nicht. Bei mir landet es direkt im Müll erstmal. Und die dritte Herausforderung, also da ist auch die Herausforderung, okay, ist das jetzt irgendwie Crowdsource oder nicht, man weiß es nicht. Und dann gibt es sogenannte Engagement Plattformen, die gibt es auch für LinkedIn, das sind spezielle Gruppen auf Signal, WhatsApp, Telegram, keine Ahnung was, wo sich Leute zusammenschließen. Und Wolfgang, wenn du jetzt einen neuen Link in Post hast, dann schreibst du in die Gruppe, hey, könnt ihr den mal boosten?
Schepp Christian Schäfer (00:19:23 - 00:19:28)
Und dann gehen diese Leute hin und kommentieren und liken und teilen und so weiter.
Wolfi Gassler (00:19:28 - 00:19:32)
Und die erwarten das natürlich dann auch von dir. Und sowas gibt es natürlich auch für GitHub.
Schepp Christian Schäfer (00:19:32 - 00:19:33)
Wenn du jetzt ein neues Repository hast.
Wolfi Gassler (00:19:33 - 00:19:41)
Dann speichst du dein Repository da in die Gruppe und jeder haut erstmal ein Star drauf und forkt das und so weiter. Füttert halt so ein bisschen den GitHub Algorithmus.
Schepp Christian Schäfer (00:19:41 - 00:19:43)
Das sind so diese Engagement Plattforms und.
Wolfi Gassler (00:19:43 - 00:19:51)
Das kannst du dir auch einkaufen. Du kannst hier, also das müssen nicht nur Gruppen mit deinen Freunden sein, da gibt es auch wirklich Plattformen, da kannst du dich dann einladen lassen und da sind dann tausende von Leuten.
Dario Tigner (00:19:52 - 00:19:59)
Das heißt, das nächste Mal, wenn du mir eine Message schreibst, like doch meinen Hacker News Beitrag, dann kann ich dir eine Rechnung stellen danach.
Wolfi Gassler (00:19:59 - 00:20:42)
So ungefähr. Genau. Also das waren jetzt die Herausforderungen, wie erkenne ich Fake User, die GitHub Stars verteilen. Das Paper sagt aber noch zwei weitere Herausforderungen. Auf der einen Seite ist das der Zugang zu den Daten, denn GitHub Daten selbst sind sehr, sehr groß und die GitHub API hat natürlich ein Rate Limit. Das bedeutet, man kriegt da einfach nicht alle Daten raus. Und die Researcher hatten jetzt nicht Zugriff auf die GitHub Datenbank selbst, also der Zugriff auf die Daten ein bisschen erschwert. Und die zweite Thematik ist natürlich auch, die haben sich zum Beispiel auf das GitHub Archive bezogen. Das GitHub Archive ist der Webhook Event Stream, der in BigQuery zur Verfügung steht. Die kann man sich runterladen, das sind circa zwanzig Terabyte von Metadaten aktuell.
Andy Grunwald (00:20:42 - 00:20:44)
Und was da passiert ist, ich habe.
Wolfi Gassler (00:20:44 - 00:20:49)
Gerade gesagt, das ist der Webhook Stream. Und wenn man den Webhook von zwei.
Schepp Christian Schäfer (00:20:49 - 00:20:51)
Tausend neunzehn nimmt, von einem Event, von.
Wolfi Gassler (00:20:51 - 00:20:59)
Einem Fork Event und dann mit diesen Daten gegen die aktuelle API geht und fragt aha, gibt es dieses Repository denn noch?
Schepp Christian Schäfer (00:20:59 - 00:21:01)
Was zwei tausend neunzehn dieses Fork Event.
Wolfi Gassler (00:21:01 - 00:21:15)
Hatte aus dem GitHub Archive, dann kann das sein, dass die Antwort nein, das gibt es nicht mehr, weil GitHub löscht Repositories und User. Und das ist natürlich eine zweite Herausforderung, die die Researcher hatten beim Zugriff auf die Daten.
Dario Tigner (00:21:16 - 00:21:17)
Und wie groß ist dieses Archive?
Wolfi Gassler (00:21:17 - 00:21:46)
Die haben sich auf das GitHub Archiv bezogen mit bisschen mehr als sechzig Millionen User und mit über drei hundert Millionen Repositories und mit sechs hundert Millionen Stars. Und das alles war aufgeteilt auf sechs Milliarden Webhook Events. Also da könnte schon sagen, okay, das war eine GitHub Analyse auf Scale. Aber deswegen ist die Herausforderung mit den GitHub Rate API Limits natürlich doch schon relevant.
Dario Tigner (00:21:46 - 00:21:58)
Das heißt, wenn es von zwei tausend neunzehn bis zwei tausend vier und zwanzig war, sind es fünf Jahre. Das heißt, man kann davon ausgehen, dass man so eine Milliarde Webhook Events pro Jahr so ungefähr hat.
Wolfi Gassler (00:21:58 - 00:22:01)
Ja, eins komma zwei Milliarden Webhook Events pro Jahr. Genau.
Dario Tigner (00:22:01 - 00:22:06)
Wahrscheinlich am Anfang weniger. GitHub wächst ja vor allem in den letzten fünf Jahren, ist wahrscheinlich sehr stark gewachsen.
Wolfi Gassler (00:22:07 - 00:22:45)
So, und was hat das Paypal jetzt eigentlich gemacht? Wie haben die, haben die das analysiert? Die haben sich ein Tool gebaut, nennt sich StarScout. Verlinken wir auch in den Shownotes, ist Open Source, kann man sich ansehen. Starscout selbst ist ein Python Tool. Und was dieses Python Tool macht, ist folgendes. Um ein Fake GitHub star zu erkennen, führen sie zwei Analysen aus. Die erste Analyse ist die sogenannte Low Activity Signature. Dort nehmen die sich jeden Star und schauen sich danach den User an und versuchen ist dieser User Stale gewesen, nachdem.
Schepp Christian Schäfer (00:22:46 - 00:22:47)
Er den Star gemacht hat?
Wolfi Gassler (00:22:47 - 00:23:15)
Also inaktiv gewesen? Also hat er diesen Star gemacht und dann keine Aktion mehr. Das könnten GitHub Konten sein, die mit nur einem Watch Event gestartet sind. Also ein Watch Event ist ein Star geben oder ich watche das Repository. Watchen in GitHub bedeutet, ich kriege eine E Mail zu jedem Issue, zu jedem Pull, Request und so weiter und so fort. Und wenn sie danach höchstens noch ein weiteres Event haben von dem gleichen Repository.
Schepp Christian Schäfer (00:23:15 - 00:23:17)
Am gleichen Tag, zum Beispiel ein Fork Event.
Wolfi Gassler (00:23:17 - 00:23:29)
Das bedeutet, du hast einen Account, der start ein Repository und am selben Tag forkt er das Repository noch mal und wenn der danach still gegangen ist, dann sagen die okay, das ist ein Fake.
Dario Tigner (00:23:29 - 00:23:36)
Account, also so ein One off Account quasi, den man nur einmal verwendet oder für eine Aktion und dann ist wieder Ruhe.
Wolfi Gassler (00:23:36 - 00:23:51)
Genau, das ist halt so ein Bot Account, so ein klassischer ich erstelle einen neuen GitHub Account und mache dafür einen Star. Und das würde ich jetzt mal qualifizieren als ein nicht Quality Star, wie du ihn bezeichnet hast. Und deswegen nennen die das Low Activity Signature.
Dario Tigner (00:23:51 - 00:24:05)
Das heißt, sie analysieren nicht den Star selbst, sondern gehen immer auf die Accounts und versuchen die Accounts zu identifizieren. Und dann geht man davon aus, wenn es ein Bot Account oder ein böser Account ist, dem seine Stars sind dann auch alles Fake stars.
Wolfi Gassler (00:24:05 - 00:24:17)
Ja, genau. Ein Star selbst kannst du ja nicht analysieren, weil ein Star ist ja eigentlich nur, ich sag mal, ein Klick auf ein Repository von einem User zu einem Zeitpunkt. Also da gibt es ja kein weiteres Element außer die Zeit.
Dario Tigner (00:24:17 - 00:24:31)
Ja, man könnte natürlich schon unter Umständen vielleicht ein Verhalten pro Repository feststellen, ist aber sicher schwieriger natürlich, weil es kann natürlich auch natürlich sein, wenn es da ein Spike gibt auf einem Repository, weil eben auf Hacker News oder so jemand steil gegangen ist.
Wolfi Gassler (00:24:31 - 00:24:41)
Du gehst gerade schon in die richtige Richtung, was die zweite Analyse angeht, der sogenannten Lockstep Signature und die ist ein bisschen, bisschen sophisticater würde ich mal sagen.
Schepp Christian Schäfer (00:24:41 - 00:24:42)
Da steckt ein bisschen mehr Fleisch hinter.
Dario Tigner (00:24:43 - 00:24:48)
So jetzt Andi, ich will schon ein deutsches Wort hören. Sophisticated. Ausgefeilter.
Schepp Christian Schäfer (00:24:48 - 00:24:49)
Anspruchsvoll.
Wolfi Gassler (00:24:49 - 00:24:56)
Ich musste gerade nachschauen, was sophisticated auf Deutsch als anspruchsvoll, aber muss ich zugeben, ist dir jetzt auch nicht eingefallen, von.
Dario Tigner (00:24:56 - 00:24:59)
Daher ausgefeilter passt doch gut.
Wolfi Gassler (00:24:59 - 00:25:08)
Genau, die locks Signatur, die ist ein bisschen ausgefeilter, ein bisschen anspruchsvoller. Da wird versucht zu erkennen, ob eine Gruppe von Nutzern sehr ähnliche Dinge tut.
Schepp Christian Schäfer (00:25:08 - 00:25:10)
Und zwar zur gleichen Zeit.
Wolfi Gassler (00:25:10 - 00:25:34)
Das klingt jetzt erstmal logisch. Du hast ja gerade schon gesagt, was ist, wenn ich sage, ich kaufe mir jetzt ein hundert Stars und der Schwarzmarkt sagt, ich kriege diese ein hundert Stars gleichzeitig auf mein Repository oder instant, wie sie mir versprechen. Das würde bedeuten, dass ein hundert Accounts meinen Code oder mein Repository in sehr kurzer Zeit starren und das wäre dann.
Schepp Christian Schäfer (00:25:34 - 00:25:36)
Eine Gruppe von Nutzern, die sehr ähnliche.
Wolfi Gassler (00:25:36 - 00:25:38)
Dinge tut und zwar zur gleichen Zeit.
Dario Tigner (00:25:38 - 00:25:58)
Wobei das alleine wäre ja noch kein Problem, wenn ich so eine Gruppe habe. Das Problem entsteht ja dann erst, wenn dieselbe Gruppe auch andere Repositories liked und zwar immer zusammen als Gruppe. Das heißt, ich finde dann eine Gruppe, die gemeinsam immer innerhalb kürzester Zeit ein Repository liked und dann kann ich darauf schließen, okay, das muss so eine Bot Gruppe sein.
Wolfi Gassler (00:25:59 - 00:26:03)
Ganz genau. Und dann da geht es, da geht es halt jetzt drum. Und wie haben sie das gemacht?
Schepp Christian Schäfer (00:26:03 - 00:26:04)
Weil das ist nämlich jetzt ein tricky.
Wolfi Gassler (00:26:04 - 00:26:13)
Problem, weil im Endeffekt ist das eigentlich genau dasselbe, was die Fraud Detection bei Facebook ist oder bei LinkedIn oder bei.
Schepp Christian Schäfer (00:26:13 - 00:26:15)
Instagram und so weiter.
Wolfi Gassler (00:26:15 - 00:26:22)
Weil ob ich jetzt einen Repository Star oder einem Instagram Account folge, mir also follower kaufe, ist eigentlich genau das gleiche.
Dario Tigner (00:26:22 - 00:26:35)
Dahinter steckt ein ganz simpler Algorithmus, der nur so nebenbei NP hard ist und auf BiPa Dite Graphen basiert. Und der Andi erklärt uns jetzt das ganze mit Pipati graphen oder wie seht ihr es?
Wolfi Gassler (00:26:35 - 00:26:55)
Also soviel ich weiß, bist du der Doktor der Datenbanken sogar. Deswegen würde ich du erklärst jetzt, was Bipartitegraphen erstmal sind und danach schauen wir mal, wie weit du kommst und ob ich das verstehe. Denn als Doktor, soviel ich weiß, musst du auch sehr viele Stunden Lehrauftrag erfüllen.
Schepp Christian Schäfer (00:26:55 - 00:26:56)
Und ich bin jetzt dein Student.
Wolfi Gassler (00:26:56 - 00:27:00)
Also lieber Wolfgang, was ist ein bipartiter Graph?
Dario Tigner (00:27:00 - 00:27:43)
Ich bin mir nicht sicher, ob das wirklich hilfreich ist, um das zu verstehen. Bipartite Graphen sind im Prinzip Graphen, die man in zwei Gruppen einteilen kann. Also alle Knoten und die Verbindungen zwischen den zwei Gruppen sind so, dass sie eben nur von Gruppe eins nach Gruppe zwei oder umgekehrt gehen und nie innerhalb der Gruppen basieren. Also dass man einfach so ein Graph teilt auf eine linke und eine rechte Seite, wenn man es ganz dumm sieht. Und darauf aufbauen kann man dann natürlich dieses Problem setzen, was wir jetzt genau beschrieben haben mit den Gruppen, wenn es eine Gruppe zwei Repositories liked. Also dann hast du Repositories auf der linken Seite, die User auf der rechten Seite und dann versucht du so mit dem bipartiten Problem das eigentliche Problem mit den fake Accounts zu lösen.
Wolfi Gassler (00:27:43 - 00:27:58)
Genau. Was sie gemacht haben, die haben alle User als Knoten in den Graph gepackt, alle Repository als Knoten in den Graph gepackt. Die haben dann diese User mit den Repositories mit Kanten verknüpft und die Kanten war dann wirklich ein User hat ein.
Schepp Christian Schäfer (00:27:58 - 00:28:01)
Repository gestart und als Metadata an die.
Wolfi Gassler (00:28:01 - 00:28:05)
Kante haben die den Timestamp gepackt, wann der Star ausgeführt.
Schepp Christian Schäfer (00:28:05 - 00:28:06)
Das ist jetzt also der Graph.
Wolfi Gassler (00:28:07 - 00:28:21)
Und was jetzt versucht wurde, ist sogenannte Gruppen, bipartite Kerne zu finden. Ein bipartiter Kern ist ein maximaler Teilgraph, der alle Kanten zwischen zwei nicht disjunkten.
Schepp Christian Schäfer (00:28:21 - 00:28:23)
Mengen von Knoten enthält.
Dario Tigner (00:28:23 - 00:28:25)
Hast du schön abgelesen?
Wolfi Gassler (00:28:25 - 00:29:05)
Habe ich schön abgelesen, dass Research ist. Ich bin ja auch kein super smarter Mensch, deswegen muss ich mir da auch mal ein bisschen bei helfen. Aber was versucht wird, ist eigentlich herauszufinden, gibt es eine Gruppe von Usern, die zu einem ähnlichen oder sehr nahen Zeitpunkt dieselben Aktionen tätigt. Und das natürlich nicht immer nur zu einem Zeitpunkt, sondern zu mehreren Zeitpunkten. Denn wenn man sich das jetzt mal logisch nachdenkt, du hast eine bot Gruppe, die start in einem sehr kleinen Zeitraum ein Repository und das tut sie öfters, über eine Woche oder über einen Monat oder ähnliches. Also eine Gruppe, die zusammen agiert.
Dario Tigner (00:29:05 - 00:29:48)
Was, glaube ich, da einfach wichtig ist, ist, dass man gar nicht das jetzt versteht, weil es ist wirklich ein komplexes Problem, sonst wäre es nicht NP hard. Wichtig ist aber zu verstehen, dass diese Grundaussage, wir finden da jetzt Gruppen, die dieselben Repositories, gar nicht so ein triviales Problem ist, sondern eigentlich ziemlich komplexes Problem ist. Das rechnet auch wirklich lang, dieses Ding, wenn man das anwirft. Die Wissenschaftler haben aber auch zurückgreifen können auf einen Algorithmus, der Copycatch heißt von Facebook, wenn ich das richtig im Kopf habe, und haben da natürlich auch aufgebaut. Also wie der Andi richtig gesagt hat, das sind ja schon Algorithmen, die bei anderen Social Networks in Verwendung sind und da muss man nicht immer das Rad neu erfinden.
Wolfi Gassler (00:29:48 - 00:30:02)
Was die machen ist, und zwar grenzen die das Problem so ein bisschen ein. Erstens sagen die Researcher, wir untersuchen nur Repositories, die mehr als fünfzig Stars haben. Alles drunter schmeißen die erstmal weg, betrachten die gar nicht.
Schepp Christian Schäfer (00:30:02 - 00:30:05)
Dann ist die zweite Einschränkung eine zeitliche Einschränkung.
Wolfi Gassler (00:30:05 - 00:30:07)
Die sagen, die suchen nur in einem.
Schepp Christian Schäfer (00:30:07 - 00:30:10)
Suchraum über fünfzehn Tage.
Wolfi Gassler (00:30:10 - 00:30:31)
Das bedeutet Gruppen, die innerhalb von fünfzehn Tagen dieselben Aktionen getätigt haben. Und wie der Wolfgang schon sagte, das ist ein heuristisches und greedy Verfahren. Somit versuchen sie nicht die perfekte Lösung zu finden, sondern eine gut brauchbare Lösung, um halt, ich sage mal, den Trade off für einen schnelleren Algorithmus zu haben.
Dario Tigner (00:30:31 - 00:30:35)
Jetzt, wenn du sagst, es ist eine Annäherung, wie nahe sind wir denn an der Realität?
Wolfi Gassler (00:30:35 - 00:32:10)
Ja, das ist jetzt die große Frage. Jetzt haben die halt diese zwei Signale, einmal diese Low Activity Signature und einmal diese Lockstep Signature und haben die gesagt, okay, vielleicht sollten wir daraus jetzt nochmal ein Post Processing machen mit den Daten. Und was sie dann gemacht haben, die haben jetzt aus der Repository Sicht geguckt und nicht mehr aus der User Sicht. Aus der Repository Sicht haben sie gesagt, okay, welches Repository hat einen Spike von neun Stars bekommen? Und wenn die die drei Signale kombinieren, dann schließen die Researcher drauf, mit hoher Wahrscheinlichkeit sind das jetzt Fake Accounts bzw. Fake stars. Die sagen ja nicht, dass das Fake Accounts sind, sondern Fake stars. Ich kann ja auch Teil einer Engagementgruppe sein, deswegen ist ja mein User nicht Fake, deswegen ist ja nur der Star eigentlich fake. Aber die sagen auch, es gibt ein paar Einschränkungen und Gefahren für die Validität der Daten, denn die Researcher beziehen sich natürlich nur auf öffentlich zugängliche Daten. Das bedeutet, da besteht die Frage, reichen die Daten und die Analyse aus, um wirklich Aktionen zu tätigen, um Stars zurückzunehmen? Und da kommen die Researcher zu dem Ergebnis, wahrscheinlich nicht, denn eine nicht öffentliche Information ist zum Beispiel die User IP Adresse. Wenn man die User IP Adresse natürlich konstant hat und eine IP Adresse hat mehrere Accounts oder operiert mehrere Accounts, dann ist das natürlich auch ein Indikator dafür, dass dass da irgendwo ein Server steht mit einem Python Skript, der sich konstant irgendwo einloggt. False positives gibt es natürlich auch immer.
Dario Tigner (00:32:10 - 00:32:12)
Wieder, denn was sind false positives?
Wolfi Gassler (00:32:12 - 00:32:41)
Ja, false positives bedeutet, der Wolfgang, der einen GitHub Account gemacht hat, das Standard Avatar gelassen hat, jeden Abend Hacker News liest, kaum Code zu GitHub selbst, kontributet aber jeden Abend immer die public repositories of Hacker News. Start könnte in dieser Analyse mit runterfallen, dann wirst du als Fake Star Bot Account User geflaggt, obwohl du vielleicht ein richtiger Mensch bist und zufällig nur das Pattern passt. Das wäre ein false positive.
Dario Tigner (00:32:41 - 00:33:30)
Also ist sehr schön, dass die Wissenschaftler da auch dementsprechend natürlich darauf eingehen, dass es false positives gibt und Probleme mit den Daten. Ich als ehemaliger Wissenschaftler muss da schon immer sagen, es ist eigentlich ziemlich schade, dass da immer sehr wenig von den Plattformen selbst kommt. Also scheinbar hat GitHub da keine Forschung. Ich kann mich erinnern, früher Twitter war da auch immer sehr leise. Also wenn es gerade um die ganzen Bots Sachen geht, gibt es da recht wenig von den Plattformen. Also das finde ich immer sehr schade, dass dann die Wissenschaftler irgendwas rausbringen müssen und die agieren halt immer auf so halbseitenden Daten. Also das finde ich schon immer sehr schade. Aber trotzdem, ich glaube, auch bei dieser Research sieht man eine klare Tendenz, auch wenn man die natürlich immer mit Vorsicht genießen muss. Aber ich glaube, die Tendenz ist absolut klar. Also was ist die Tendenz, Andi? Und was sind jetzt die Ergebnisse von dem Ganzen?
Wolfi Gassler (00:33:30 - 00:34:01)
Genau, da haben wir noch gar nicht drüber gesprochen, denn bei so einer Research steht natürlich immer so eine Grundthese vorne dran bzw. Sogenannte Research Fragen. Und da hat das Team vier Stück aufgeworfen. Die erste Frage ist eigentlich wie weit verbreitet sind denn jetzt eigentlich gefälschte Stars auf GitHub? Und das Ergebnis war vor zwei tausend vier und zwanzig waren die wirklich nur sehr, sehr begrenzt verbreitet und von geringer Bedeutung. Kannst du eigentlich vernachlässigen. Aber im Jahr zwei tausend vier und.
Schepp Christian Schäfer (00:34:01 - 00:34:04)
Zwanzig steigt die Zahl der Fake Star.
Wolfi Gassler (00:34:04 - 00:34:43)
Kampagnen jedoch um das hundertfache an. In der Spitze im Juli zwei tausend vier und zwanzig erkannte Starscout, also das Tool, von dem wir gerade gesprochen haben, gefälschte Star Kampagnen für fünfzehn Prozent der Repositories mit über fünfzig Stars in diesem Monat. Also das schon eine harte Nummer, aber eine gute Nachricht nur vier und sechzig Repositories von diesen identifizierten Repositories, die eine gefälschte Star Kampagne erhalten haben, waren auf NPM oder Piep veröffentlicht. Also somit war der Effekt, der Security Effekt etwas milder.
Dario Tigner (00:34:43 - 00:35:11)
Also es klingt schon eher danach, als wenn das dann für Scams und so die andere Schiene eigentlich genutzt wurde, wo man halt wirklich mit Bots sehr viel Sachen erzeugen kann, dann Spam verschicken kann, vielleicht mit Links auf GitHub oder sonst irgendwas und weniger die klassische Lücke, dass man Backdoor, was man einschleust in irgendein package oder so, also supply chain attacks, dass die vielleicht jetzt da nicht so klassisch in dieses pattern mit reinfallen, bevor.
Wolfi Gassler (00:35:11 - 00:35:47)
Ich da jetzt ja oder nein sage. Das war nämlich genau research. Frage nummer zwei was sind die Merkmale von GitHub Repositories mit gefälschten Starcomputern? Und da ist das Ergebnis, dass das meist, wie du schon richtig beschrieben hast, weniger Supply Chain Attacken waren, sondern eher kurzlebige Phishing Malware repositories, Raubkopien, Software Spiele, Cheats oder Kryptowährung Bots oder irgendwie sowas. Also wirklich schon, ich sag mal realer Scam. Und das muss ich zugeben, ist eine gute Neuigkeit, oder? Also ich habe lieber ein bisschen Scam Kram als Supply Chain Attacken in NPM und pypy. Repositories.
Dario Tigner (00:35:47 - 00:36:40)
Und die nächste Research Question, die sie sich gestellt haben, fällt eigentlich in einen ähnlichen Bereich rein. Also was sind die Merkmale von GitHub Konten, die da Fake Stars vergeben haben? Und es geht eigentlich genau in die gleiche Richtung, dass das eher so die klassischen Bot Accounts sind, die man leicht identifizieren kann über deren Profil, dass die wirklich jetzt keine sophisticated, sage ich auch schon, sophisticated, umfangreiche Aktivität zum Beispiel haben, diese diese Accounts. Also dass man den Unterschied zwischen ganz klaren echten Accounts und den Bot Accounts doch recht schnell erkennen kann, weil die Aktivität einfach nicht vorhanden ist gegenüber einem sinnvollen normalen User, der in dem Social Network eben agiert und contributed und fockt und stars macht und nicht nur diese Stars in kurzer Zeit, weil das ist einfach dann zu trivial für einen echten User.
Wolfi Gassler (00:36:40 - 00:37:21)
Das denke ich, ist eine gute Neuigkeit. Aber research frage vier und somit die letzte research Frage finde ich nämlich auch sehr interessant. Inwieweit sind Fake stars effektiv bei der Förderung von den Ziel GitHub Repositories? Also das bedeutet, wenn man jetzt sagen möchte, okay, ich kaufe Stars für Growth Hacking, bringt das mir was? Und was herausgefunden wurde, ist, dass wenn du Fake stars kaufst, in den ersten zwei Monaten die Repositories einen kleinen positiven Effekt verzeichnen können in Bezug auf die Anziehung echter Stars. Das bedeutet echter Nutzeraufmerksamkeit.
Dario Tigner (00:37:21 - 00:37:28)
Also das klassische reichere Leute werden immer reicher, Repositories mit vielen Sternen bekommen immer mehr Sterne.
Wolfi Gassler (00:37:28 - 00:38:05)
Ganz genau. Das bedeutet eigentlich, dass diese komplette Algorithmus Fakerei funktioniert. Also der Wolfgang macht ein neues Repository, kauft sich GitHub stars, geht in den Explore Algorithmus und weil du dann kurzzeitig in diesem Explore Algorithmus bist, bekommst du über die ersten zwei Monate dann reale Stars von realen Nutzern. Aber es wurde auch gesagt, nach zwei Monaten haben die gefälschten Stars jedoch einen negativen Effekt bzw. Halt weniger Zuwachs von externen Sternen und negativen Effekt, denn wenn diese Bot Accounts erkannt werden, werden diese Accounts gelöscht. Haben wir ja gerade gesagt, das ist.
Schepp Christian Schäfer (00:38:05 - 00:38:08)
Auch die Herausforderung der Datenanalyse gewesen von dem Research Team.
Wolfi Gassler (00:38:08 - 00:38:15)
Und wenn die Accounts gelöscht werden, reduzieren sich natürlich auch wieder die Stars, weil es gibt den Account ja nicht mehr, der den Star vergibt und du riskierst.
Dario Tigner (00:38:15 - 00:38:59)
Natürlich deine Reputation, wenn das in irgendeiner Form rauskommt oder sichtbar wird. Und sie haben eben auch festgestellt, dass grundsätzlich die Accounts auf lange Sicht dann nicht mehr den Zuwachs haben. Also du hast am Anfang einen kurzen Peak, aber im Vergleich zu einem qualitativen Repository, was organisch wächst, ist es natürlich jetzt was ganz was anderes und ist natürlich auch klar, weil was organisch wächst, hat wahrscheinlich einfach einen guten Inhalt. Also das ist natürlich auch gebiased und der gute Inhalt wird dann wahrscheinlich mehr gestartet, als wenn ich nur vertraue auf diesen Effekt, um das am Anfang zu pushen. Also die Forscher innen empfehlens auf jeden Fall nicht zu machen, weil kein messbarer Effekt, wenn man es auf mehr als ein paar Monate testet, zu erkennen ist.
Wolfi Gassler (00:38:59 - 00:39:54)
Ich hoffe, die tun das jetzt nicht nur wegen dem Growth Hacking Effekt, das nicht zu empfehlen, aber nun gut. Aber was das Paper auch explizit sagt, okay, aus Sicherheitsperspektive können die Researcher bestätigen, dass ein Anstieg an bösartigen Aktivitäten im Bereich Software Supply Chain, Cryptocurrency Scam und Co. Festgestellt wurde. Denn was auch so NPM Pakete, die dann deine Kryptowährung von deinem lokalen Rechner stehlen und so weiter, das haben die auch alles in Crypto Scam gepackt, was vielleicht dann ist das Software Supply Chain, ich weiß es nicht, aber ist auf jeden Fall eine harte Nummer, wenn du auf einmal deine Bitcoin verlierst. Was ich aber auch schön fand an diesem Paper ist, dass die noch mal so eine Kategorie Diskussion hatten und da haben sie noch mal ein paar nette Sachen erwähnt, wie zum Beispiel haben die die Research Ergebnisse auch an GitHub gemeldet und GitHub hat diverse Überprüfungen durchgeführt und.
Schepp Christian Schäfer (00:39:54 - 00:39:58)
Dann auch auf Basis der gemeldeten Ergebnisse auch Accounts gelöscht.
Dario Tigner (00:39:58 - 00:40:05)
Das hätte mich ja am meisten interessiert, eine Public Liste von Accounts, die die solche Stars vergeben. Das wäre mal gut gewesen.
Wolfi Gassler (00:40:05 - 00:40:39)
Dann weiterhin haben die Researcher mit einer Sicherheitsfirma gearbeitet, mit Socket de und diese Socket de Leute haben anscheinend eine Security Software, die auch Repositories überprüft und die haben dann eine, ich sag mal, leichtgewichtigere Version von diesem Starscout dort implementiert und somit hat die Security Software jetzt auch dieses Signal, oh, hat dieses Repository Fake stars bekommen, mit reinkommen. Das finde ich eigentlich sehr schön. Was ich ein bisschen schade finde, ist.
Schepp Christian Schäfer (00:40:39 - 00:40:44)
Warum das dann in so einer proprietären Security Software implementiert wird und dann warum gerade Socket Dev.
Wolfi Gassler (00:40:44 - 00:40:53)
Das hat mir so ein bisschen gefehlt in dem Paper, also da hat mir die Transparenz einfach gefehlt. Aber hey, ich finde erstmal cool, dass das Signal dann erstmal da implementiert wurde.
Dario Tigner (00:40:53 - 00:41:00)
Also wenn ich das richtig verstanden habe, haben die schon mitgewirkt beim Paper. Zumindest eine Person ist in der Liste der Autoren kollaboriert.
Wolfi Gassler (00:41:00 - 00:41:02)
Wurde, ist das offizielle Wort, was genannt wurde.
Dario Tigner (00:41:02 - 00:41:04)
Genau, gemeinsam Paper erstellt.
Wolfi Gassler (00:41:04 - 00:41:43)
Und im Bereich Diskussion haben die Researcher noch Empfehlungen für Open Source Maintainer und Empfehlungen für Plattform Maintainer. Das finde ich auch ganz schön, und zwar Empfehlung für Open Source Maintainer eigentlich, dass die Anzahl der Stars ein unzuverlässiges Qualitätssignal ist und somit nicht für Entscheidungen verwendet werden sollte und dass es wichtig ist, andere Signale zu bewerten, dass man die Sterne nicht für Growth Hacking nutzen sollte bzw. Es einem nicht hilft, wie wir gerade gesprochen haben. Und dass man sich strategisch darauf konzentrieren sollte, tatsächlich andere Adoptionen, tatsächliche Adoption zu fördern. Also dass wirklich jemand das Tool nutzt, anstatt sich auf die Anzahl der Stars irgendwie oberflächlich zu beziehen.
Dario Tigner (00:41:44 - 00:41:45)
Surprise, surprise.
Wolfi Gassler (00:41:46 - 00:42:11)
Für die Plattform Maintainer wünschen die Researcher sich natürlich auch, dass GitHub könnte da ein bisschen mehr machen, ein bisschen besseres Popularitätssignal profitieren und vielleicht so ein bisschen die Connection herstellen, dass gefälschte Stars auch in einem engeren Zusammenhang mit bösartigen Aktivitäten stehen können. Also auch das, was der Wolfgang, ich glaube, initial gesagt hatte, dass die Plattformen da ein bisschen mehr machen.
Dario Tigner (00:42:11 - 00:42:40)
Und jetzt hat der Andi schon erwähnt, die Empfehlung an die Open Source Maintainer war, die Sterneanzahl nicht als Qualitätssignal zu werten. Und jetzt haben wir uns gedacht, wir fragen auch noch ein paar andere Leute, wie die denn so die GitHub stars sehen und ob diese Leute Stars als Qualitätsmerkmal sehen. Wer die letzte Episode gehört hat zu Meetups, der kennt schon viele von diesen Personen, weil wir sind zu zwei Meetups gegangen, ein Meetup in Österreich und eines in Deutschland und haben Leute nach ihrer Meinung gefragt.
Schepp Christian Schäfer (00:42:40 - 00:42:41)
Die erste Frage, die wir den Leuten.
Wolfi Gassler (00:42:41 - 00:42:50)
Gestellt haben, um auch mal so ein bisschen Reality Check zu dem Paper jetzt hier zu machen, welche Bedeutung haben denn GitHub stars für dich persönlich? Hören wir mal rein.
Dario Tigner (00:42:51 - 00:42:52)
Nichts.
Philipp Wolfram (00:42:52 - 00:43:32)
Also ich finde es wirklich total Müll. Das ist genauso wie Instagram Abo Zahlen. Das ist einfach nur irgendwie, einige definieren sich darüber. Das finde ich recht traurig. Open Source sollte dazu da sein, um Mehrwert zu stiften. Und wenn ein Projekt mit fünf Stars mein Problem löst, dann kann ich das auch nutzen. Das heißt nicht unbedingt, dass das Projekt mit zwei tausend Stars besser ist. Es ist ein Indikator dafür, dass es mehr Leute nutzen, aber es ist nicht automatisch besser. Und dementsprechend messe ich dem jetzt nicht den Riesenwert bei. Es ist für mich nur ein Indikator, wie viele Leute es nutzen. Aber das ist nicht mein Hauptkriterium für.
Moritz Kaiser (00:43:32 - 00:44:07)
Open Source Software tatsächlich. Also ich hatte das in der Vorbesprechung auch ganz kurz schon angedeutet, haben für mich GitHub stars fast gar keine Aussagekraft. Also es interessiert mich nicht und ich gucke da nicht drauf, irgendwie den Auftrag hätte von meinem Team, von irgendeinem Kunden oder so, ein bestimmtes Framework, eine Open Source Lösung zu evaluieren, dann würde ich vielleicht auch auf die GitHub Stars schauen und dann eben sagen, so hier, guck mal da, das scheint irgendwie ein bisschen mehr Anklang zu finden als das andere. Aber am Ende zählen für mich andere Dinge als die GitHub stars.
Stefan Brandt (00:44:08 - 00:44:15)
Wenn da welche sind, weiß ich, dass es bekannt ist. Wenn es bekannt ist, weiß ich, dass ich es mir zumindest mal angeschaut haben soll.
Simon Brüggen (00:44:17 - 00:44:22)
Für mich persönlich haben die keinerlei Bedeutung. Ich bin JavaScript Entwickler und für mich.
Melanie Patrick (00:44:22 - 00:44:23)
Hat dann mehr die Weekly Downloads auf.
Simon Brüggen (00:44:23 - 00:44:26)
Npm oder so eine Bedeutung.
Maxi Kurzawski (00:44:27 - 00:44:40)
Für mich persönlich, wenn ich eine Library suche, gucke ich natürlich auf die GitHubstar, natürlich auch irgendwie auf die Activities. Also ist schon ein Auswahlkriterium für Projekte, die gut sind oder halt zumindest aktiv.
Wolfi Gassler (00:44:40 - 00:44:44)
Gepflegt werden, eine große Userbase haben, gar.
Stefan Bethe (00:44:44 - 00:44:49)
Keine irgendwelche Obstpuren, Gummipunkte, null Relevanz für mich.
Dario Tigner (00:44:50 - 00:45:09)
Ich glaube, wir haben die falsche Frage gestellt. Wir hätten ja die Frage stellen, ist GitHub für dich ein Social Network? Weil die Leute kennen zwar GitHub stars alle, aber ich glaube, sie sind sich auch nicht dessen bewusst, was das eigentlich ist. Oder es interessiert einfach niemanden so wie mich. Also Andi glaubt, es gibt auch andere Leute, die so denken, wie wir jetzt gehört haben.
Wolfi Gassler (00:45:09 - 00:45:19)
Ich finde es ja schon faszinierend, denn das Paper sagt, GitHub Stars haben eine hohe Relevanz für Venture Capitalists. Sogar wenn man den Reality Check auf einem Software Engineering meetup mal baut, dann.
Schepp Christian Schäfer (00:45:19 - 00:45:21)
Kriege ich da erstmal einen anderen Eindruck.
Dario Tigner (00:45:21 - 00:45:35)
Wobei, man muss ja schon sagen, wir haben ja dann noch eine crosscheck Frage fast gestellt, würde ich mal sagen, weil die zweite Frage, die wir gestellt haben, beeinflusst die Anzahl der GitHub stars eines Projektes deine Entscheidung, es zu nutzen? Also eigentlich eine sehr ähnliche Frage.
Wolfi Gassler (00:45:35 - 00:45:39)
Hol doch mal alle ab, was ist eine Cross Check Frage als Researcher?
Dario Tigner (00:45:39 - 00:45:55)
Es ist eigentlich die gleiche Frage, aber von einem anderen Winkel auf ein konkretes Problem gestellt. Und interessanterweise haben wir da doch dann andere Antworten bekommen. Also auch von Leuten, die zuerst gesagt haben, ist eigentlich eh unwichtig. Bei dieser Frage gab es dann andere Antworten, aber hauchen wir mal rein.
Simon Brüggen (00:45:56 - 00:46:15)
Entgegen meiner letzten Antwort wahrscheinlich auch eher nicht, weil die Projekte, die ich so mache, da muss es erstmal funktionieren. Und das ist so der hauptsächliche Punkt. Ich würde es mal antesten, ob es jetzt viele Stars hat oder wenige Stars, ist für mich eher zweitrangig.
Stefan Brandt (00:46:15 - 00:46:34)
Ne, tatsächlich nicht. Zum einen wegen der Zeit, die das Projekt vielleicht schon auf dem Markt ist und die Evaluierung von verschiedenen Projekten gegeneinander ist eher das, was mich dann für eins entscheiden lässt oder eben nicht. Natürlich gibt es eine gewisse Indikation, aber die Entscheidung wird nicht beeinflusst davon.
Tim Glabisch (00:46:35 - 00:47:11)
Ich glaube, das habe ich tatsächlich schon mal gemacht. Wenn man sich entscheiden muss zwischen zwei verschiedenen Sachen, die im Prinzip das gleiche tun oder so, braucht man ja irgendeinen Form dann doch Referenzen. Da kann das dann doch schon mal relevant werden. Ich würde sagen, es beeinflusst das schon definitiv. Man sieht, dass mehr Leute sich das Ganze angeschaut haben. Es gibt vermutlich eine größere Community. Also bevor wir jetzt entscheiden würden, ein Produkt, also eine Open Source Software einzusetzen, würde ich schon gucken, wie viele Contributor gibt es vielleicht, wie viele Stars hat das, wie aktiv ist das Projekt? Also es ist so ein Einfluss schon zusätzlich noch.
Holger Große-Plankermann (00:47:12 - 00:47:49)
Also die Anzahl der GitHub Stars entscheidet schon darüber, ob ich es nutze oder nicht. Insbesondere wenn ich die Wahl hab zwischen verschiedenen Bibliotheken, weil natürlich eine starke Community bei einem wichtigen Paket, was ich irgendwo verwende, wichtig ist, weil das Projekt ja länger da sein sollte und es muss in irgendeiner Form betreut sein. Und da ist es schon wichtig, dass die Dependencies gepflegt werden. Was ich häufiger mache bei Projekten, die weniger oder wenig Stars haben oder null gar nicht, dass ich mir den Code angucke und dann eher den Code tatsächlich dupliziere und gar nicht die Dependency mit ins Projekt reinhole.
Dario Tigner (00:47:50 - 00:47:54)
So Andy, jetzt möchte ich aber schon noch deine Antwort wissen auf die Frage.
Wolfi Gassler (00:47:54 - 00:48:28)
Ich würde sagen, es ist ein Signal, was ich mit einfließen lasse. Ja, in der Tat. Und ich gehe sogar mit manchen Antworten mit, oh, wenn etwas Stars hat und ich habe davon noch nie gehört, dann schaue ich da schon mal drüber. Das ist schon, das ist schon korrekt. Und ich finde aber den Ansatz vom Tim ganz cool, den er genannt hat. Ab und zu holt man sich die Dependency gar nicht ins Projekt, sondern sofern es nämlich erlaubt ist, anhand der Lizenz, kopiert man da lieber den Source code raus, den man braucht. Das finde ich halt eher so ganz charmant. Ist auch so ein bisschen ghosty, muss man natürlich sagen.
Dario Tigner (00:48:28 - 00:49:16)
Ich würde jetzt gern sagen, ich schaue immer ganz tief in die Libraries hinein, so wie es auch manche gesagt haben, Qualität und so weiter ist wichtig, aber ich glaube, das, was da Moritz auch als erstes gesagt hat und andere auch, wenn ich zwei Libraries, eine links und eine rechts habe, dann schaue ich fast als erstes mal auf die Stars und als zweites üblicherweise, wann die letzte Contribution war und dann fliegt mal eine Seite meistens schon raus. Also gerade so als Knock out Kriterium, niedrige Stars versus viele Stars, vor allem wenn da ein großer Gap dazwischen ist, dann ist für mich das absolute Knockout Kriterium. Und im Vergleich von zwei Libraries gewinnt dann eine und dann schaut man vielleicht noch paar andere Sachen an oder wenn mehr zur Verfügung stehen. Aber Stars ist schon meiner Meinung nach da ein sehr wichtiges Signal, würde ich mal sagen, vor allem, wenn es um den Vergleich geht.
Wolfi Gassler (00:49:16 - 00:49:36)
Aber da hat die crosscheck Frage ja ein hundert Prozent ihren Sinn erfüllt, denn in der ersten Frage, was haben GitHub stars für eine Bedeutung, war, ich sag mal so, der Grundtenor eigentlich gar keine. Das Wort obskure Gummipunkte ist geflogen. Also natürlich waren es vielleicht nicht eins zu eins alle Personen, aber man hat so einen Grundtenor gefunden.
Dario Tigner (00:49:36 - 00:49:51)
Also es war sogar bei mir, wie ich diese Fragen gestellt habe bei den Meetups, habe ich mir oft gedacht, ich brauche gar nicht weiter fragen, weil alles so am Anfang irgendwie nein, null, interessiert mich nicht, keine Ahnung. Und dann hat sich das aber dann doch gewandelt. Also es war schon auch vor Ort merkbar und interessant.
Wolfi Gassler (00:49:51 - 00:50:05)
Die dritte Frage, die wir aber gestellt haben, und das denke ich, ist keine crosscheck Frage mehr, denn denn es zielt auf einen anderen Bereich ab. Denkst du, dass GitHub stars ein guter Indikator für die Qualität eines Projektes sind? Das haben wir gefragt, hören wir mal rein.
Mirjam Ziselsberger (00:50:06 - 00:50:30)
Dadurch, dass sie viele Sterne haben, schauen auch viele Leute drauf und dann gibt es die Chance, dass der Code auch verbessert wird von Leuten in Bereichen, wo der Hauptentwickler vielleicht keine Ahnung von hat, also Packaging, Dockerfile, whatever. Aber es erhöht nur die Chance, dass es besser ist, nicht wirklich die tatsächliche Qualität.
Moritz Kaiser (00:50:31 - 00:51:15)
Also ich denke, dass das korreliert. Also gutes Projekt, viele Stars. Es muss nicht immer so sein. Also es gibt ja immer irgendwelche, was weiß ich, Ausrutscher, gehypte Sachen, die vielleicht mehr so eintagsfliegen Charakter haben. Also ein Beispiel, das mir jetzt einfallen würde, das jetzt nicht Eintagsliege war, aber das eben jetzt mittlerweile wieder nicht mehr en vogue ist es Gatsby JS. Also es war ja wirklich super hyped, die Firma hat auch wahnsinnig viele bekannte Leute eingestellt und viel Pohai gemacht, aber Gatsby ist einfach töter als tot, würde ich sagen. Und ich vermute, dass die, dass die immer noch viele GitHub Stars haben in ihrem Repo, aber das Repo ist einfach tot Qualität.
Simon Legner (00:51:15 - 00:51:53)
Also Advocatus Diaboli GitHub Stars sind erstmal nur ein Indikator für gutes Marketing, also in irgendeiner Form Developer Marketing. Das korreliert, ich gebe dir recht, aber gibt es WordPress auf GitHub? Wenn WordPress auf GitHub, ich bin mir nicht sicher, aber WordPress würde sehr viele GitHub stars haben, nehme ich an. Aber ist ja ein Projekt, was notorisch dafür bekannt ist, jetzt nur mäßige Qualität zu haben, so sagt man. Von daher, auf die einfache Formel würde ich es, glaube ich, nicht runterbrechen wollen, obwohl es natürlich korreliert.
Simon Brüggen (00:51:54 - 00:52:28)
Ich würde da ein Beispiel zurande ziehen. Ich hatte letztes Jahr während meines Masters eine Begegnung mit einem doch relativ bekannten Gitterpaket mit sehr, sehr vielen Stars. Und mir ist beim Benutzen dieses Pakets, ist mir aufgefallen, die printen zum Teil API Keys in Klartext in deine Konsole rein, wenn du was falsch eingibst. Und der Vorteil an einem sehr bekannten Projekt ist halt, dass Fehler auch sehr schnell behoben werden können. Das wäre für mich so mein Take away. Aber im Endeffekt, ob da jetzt Qualität besser ist, wenn das mehr Stars hat, würde ich so nicht sagen.
Tim Glabisch (00:52:29 - 00:52:56)
Das würde ich sagen, nicht unbedingt, weil manchmal vermutlich Sachen, die einfach funktionieren und hingeklatscht sind, aber vielleicht ein interessantes Produkt sind, Richtung AI oder so, dass die dann durch einen Beitrag auf Hacker News sehr viele Sterne bekommen. Manche Leute nutzen die Sterne auch, um Sachen zu markieren und sich später nochmal anzugucken. Ich würde nicht sagen, dass das bedeutet, dass die Codequalität dann besonders hoch ist, nur dass das Produkt sozusagen in Anführungsstrichen gerade populär ist. Vielleicht.
Holger Große-Plankermann (00:52:57 - 00:53:25)
Ich glaube, dass die Anzahl der GitHub Stars ein Indikator dafür sind kann. Ich glaube aber eher, dass es ein Indikator dafür ist, wie vieles verwendet wird. Und es gibt viele, gerade im JavaScript, TypeScript, Ökosystemprojekte im Bereich von Stars, die in Wirklichkeit keiner pflegt, weil entsprechende Firma dahinter sitzt oder so dieses Projekt mal ins Leben gerufen hat. Ich glaube, dass man da trotzdem sehr.
Dario Tigner (00:53:25 - 00:53:32)
Aufpassen muss, immer dieses WordPress bashing. Bin ja auch kein WordPress Fan.
Wolfi Gassler (00:53:32 - 00:53:40)
Als ich das gehört habe, kam mir auch wieder Code is Poetry bzw. Code ist Poesie in den Sinn. Das ist ja so deren Claim, den die mal früher hatten.
Dario Tigner (00:53:40 - 00:53:54)
Das ist so ähnlich, wie dass man immer gesagt hat, Mac ist so sicher. Und dabei ist es halt nur sicher, weil vor allem früher wenige Leute Viren dafür geschrieben haben im Vergleich zu Microsoft. Aber gibt es ja auch Research dazu, aber das war eigentlich gar nicht das Thema.
Wolfi Gassler (00:53:54 - 00:54:16)
Aber ja, ich sag mal, geteilte Meinung. Auf der einen Seite wird gesagt, okay, wenn viele Stars, wenn es populär ist, schauen mehr Leute drauf und es gibt eine höhere Chance, dass Sachen schneller gefixt werden. Und Qualität scheint dann ein fix hier zu sein. Auf der anderen Seite wurde natürlich auch ein paar Gegenbeispiele genannt. Gatsby, JS, WordPress oder diese Software für diese Masterarbeit.
Dario Tigner (00:54:16 - 00:54:54)
Wobei das ja mit Gatsby auch jetzt nicht unbedingt heißen muss, dass es eine schlechte Qualität hat. Es ist halt tot. Wobei tot ist auch relativ bei Gatsby, muss man sagen. Aber das heißt nicht, dass es eine schlechte Qualität hat. Vielleicht ist es weniger gewartet und war mal früher populärer, aber das eine hatte keine direkte Auswirkung, würde ich mal sagen. Aber wie einige gesagt haben, Korrelation ist natürlich da, bzw. Die Chance für die Korrelation, und das würde ich auch so unterschreiben als die Chance ist natürlich höher, dass wenn ein populäres Repository viel Anklang findet, dann wird es wahrscheinlich auch einfach durch mehrere Augen gegangen sein. Hoffentlich nicht immer, aber die Chance ist da.
Wolfi Gassler (00:54:54 - 00:54:58)
Wie heißt es so schön? Korrelation ist nicht gleich Kausalität, oder?
Dario Tigner (00:54:58 - 00:54:59)
Genau.
Wolfi Gassler (00:54:59 - 00:55:06)
Muss ich jetzt aber auch mal einen Schnauenspruch raushauen. Nun gut, aber alle guten Dinge sind vier.
Dario Tigner (00:55:06 - 00:55:23)
Und da wollten wir mal überprüfen, ob die Leute, die sich jetzt da alle beschweren bezüglich Qualität und so weiter, wie die denn überhaupt Sterne vergeben und ob es da vielleicht dann auch wieder anderes Vorgehen geht. Und da haben wir gefragt, wie oft gibst du selbst GitHub stars und welche Kriterien sind für dich ausschlaggebend?
Philipp Wolfram (00:55:24 - 00:55:48)
Ich bin da sehr gefühlsgetrieben. Also ich muss zugeben, einige machen das bestimmt objektiv an irgendwelchen Kriterien. Ich schaue mein Projekt an, lese mir das Readmefi durch und denke mir, boah, geile Nummer. Und dann kriegen die einen Star von mehr. Oder ich setze irgendwas ein und ja, das passt für mich, löst ein Problem von mir, dann kriegt's einen Star und ich drücke dann noch auf Watch, damit ich alle Updates mitbekomme.
Simon Brüggen (00:55:49 - 00:55:52)
Ich muss zugeben, ich habe noch nie einen GitHub Star vergeben.
Wolfi Gassler (00:55:52 - 00:55:53)
Warum nicht?
Simon Brüggen (00:55:53 - 00:56:03)
Ich hatte keine Intention dahinter. Wenn mich ein Paket interessiert, dann habe ich es mir in der Bookmark abgespeichert, aber bisher noch nicht dazu gekommen, dass ich mir gedacht oh, das braucht jetzt einen Star.
Maxi Kurzawski (00:56:04 - 00:56:20)
Ganz selten, ehrlicherweise. Ich habe letztens eine Reihe GitHub stars vergeben, weil mich ein Freund darum gebeten hat, seine Projekte zu pushen. Genau. Aber ab und zu mache ich das schon. Manchmal auch, um sie mir einfach zu merken.
Stefan Bethe (00:56:21 - 00:56:27)
Meistens, wenn ich die Person persönlich kenne und weiß, was so dahinter steckt, hinter.
Holger Große-Plankermann (00:56:27 - 00:56:46)
Der Arbeit, ist es so, dass ich die GitHub stars auch gerne als Bookmark benutze, wenn ich irgendwas interessant finde. Also wenn ich ich mich mit der Domäne mehr befassen möchte und einfach in ein paar Monaten oder paar Wochen da noch mal drauf gucken möchte, dann setze ich gerne mal einen Star habe ich.
Wolfi Gassler (00:56:46 - 00:56:49)
Schon hauptsächlich, damit ich es leichter wiederfind.
Melanie Patrick (00:56:50 - 00:57:09)
Also ich glaube, ich habe so was wie ein Tausend vergeben, sieben hundert vergeben, sowas gibt darin jetzt keine konkreten. Also wenn ich ein Projekt spannend finde, wenn ich es selber verwende und halt irgendwie sehr zufrieden damit bin ich. Bei Xeni gibt es ja die Möglichkeit, das in so unterschiedliche Kategorien einzuteilen. Das habe ich bis jetzt noch nicht angefangen. Bei mir ist alles so eine unsortierte Sternenlicht.
Dario Tigner (00:57:09 - 00:57:14)
War da jetzt irgendwo Qualität dabei als Grund? Einmal so halb.
Wolfi Gassler (00:57:15 - 00:57:43)
Es hat mich stark zum grinsen gebracht, als ich mir die Aufnahmen angehört habe, aber ne OK, Qualität ist, also ich finde es schön. Auf der einen Seite wird es ein bisschen danach bewertet, OK, auf der anderen Seite ne, ich verteil Star meist so nach dem Motto Bookmarks oder falls mich ein Freund fragt, aber hey, mache ich doch genauso. Also ich verteile Stars an Sachen, die ich mir später mal angucken möchte oder die ich cool finde, innovativ finde oder wo ich einfach sage Kudos, Hut ab.
Dario Tigner (00:57:44 - 00:57:54)
Geile Idee, ich hab wieder was gelernt. Es gibt Kategorien bei Stars habe ich auch noch nie gehört oder Listen oder sowas. Wie gesagt, ich muss mich glaube ich mehr mit GitHub beschäftigen, aber ich finde.
Wolfi Gassler (00:57:54 - 00:57:59)
Das schön, dass du wenigstens mit dem Learning rausgehst, dass GitHub ein Social Network ist und dass man da Leuten folgen kann.
Dario Tigner (00:57:59 - 00:58:14)
Dem stehen wir noch nicht zu ganz zu deinem Social Network, aber okay, wir haben jetzt im Gegensatz zur letzten Episode natürlich da keine Namen erwähnt. Wir sind ein bisschen schneller durchgegangen. Wen es interessiert, wer die Personen hinter den ganzen Kommentaren waren, schaut doch mal in die Show Notes, dort steht das alles.
Wolfi Gassler (00:58:14 - 00:58:22)
Jetzt haben wir uns das Paper aber reingezogen und den Reality Check. Würdest du sagen, dass das Paper mit der Realität übereinstimmt?
Dario Tigner (00:58:22 - 00:58:27)
Ja, ich würde zumindest mal sagen, die Empfehlung, das nicht als Qualitätskriterium zu sehen, die trifft auf jeden Fall.
Wolfi Gassler (00:58:28 - 00:58:38)
Wie würdest du denn das Paper generell bewerten? Weil bei den Papers we love ist ja immer die lieben wir dieses Paper? Würdest du sagen, das ist ein qualitativ hochwertiges Paper?
Dario Tigner (00:58:38 - 00:59:25)
Ich habe es eigentlich sehr rund gefunden und war glaube ich eine solide Studie zu dem ganzen. Was mich bisschen gewundert hat, dass es nirgends peer reviewed wurde und irgendwie veröffentlicht wurde, obwohl andere Papers von der Autorin das schon wurden. Es war für uns ein Grund, das Thema mal zu beleuchten, was glaube ich auch schon gut war, sonst hätten wir das nie gemacht. Und ich finde es ganz cool, weil es ein gewisses Licht auf GitHub geworfen hat und für mich zumindest GitHub davor irgendwo so in der Nische und nicht als Social Network und Wichtigkeit, dass man da auch faken kann und so weiter, bei mir irgendwo am Bildschirm war. Insofern finde ich das eine gute Idee, das zu analysieren. Und soweit ich das beurteilen kann von außen, hat es auch durchaus fundierte Herangehensweise.
Wolfi Gassler (00:59:25 - 00:59:32)
Als nicht Wissenschaftler muss ich sagen, ich fand es sehr einfach zu lesen, ich fand es sehr praxisnah. Ich hatte wirklich Spaß, es zu lesen.
Dario Tigner (00:59:32 - 00:59:37)
Darum wurde es nirgends veröffentlicht. Es ist zu leicht zu lesen und zu praxisnah.
Wolfi Gassler (00:59:37 - 01:00:08)
Ich hoffe, das ist nicht die Wahrheit, aber ich hatte wirklich Spaß, das Paper zu lesen. Ich bin nicht eingeschlafen. Es war unterhaltsam, aber vielleicht auch, weil ich mich sehr, sehr mit diesem Thema mit Stars und GitHub und Bipatiten graphen. Ja gut, da jetzt nicht, da kann ich mich jetzt nicht mit connecten, aber dem Thema bin ich sehr nah und deswegen vielleicht hatte ich auch einfach ein erhöhtes Interesse daran. Also ich kann es allen Leuten nur empfehlen, das Paper mal zu lesen. Link natürlich in den Shownotes. Die Software habe ich mir jetzt nicht im Detail angesehen, sondern habe mich nur.
Schepp Christian Schäfer (01:00:08 - 01:00:09)
Auf das Paper gestützt.
Wolfi Gassler (01:00:09 - 01:00:16)
Deswegen kann nichts zur Qualität der Software sagen, obwohl die Software open source ist.
Dario Tigner (01:00:16 - 01:00:17)
Wenn ich das richtig im Kopf habe.
Wolfi Gassler (01:00:17 - 01:00:24)
Richtig. Und neun und achtzig stars hat. Also sie wäre auch in der Star Analyse von sich selbst drin. Das war es von uns mit einer.
Dario Tigner (01:00:24 - 01:00:27)
Neuen Papers we love mit Stimmen aus der Community.
Wolfi Gassler (01:00:27 - 01:00:34)
Vielen lieben Dank an alle Stimmen, die wir gehört haben für eure Zeit, dass wir euch aufnehmen durften und veröffentlicht durften.
Dario Tigner (01:00:34 - 01:00:40)
Natürlich auch an alle, die wir nicht gehört haben. Wir haben dann natürlich nur ein paar rausgepickt, weil wir haben wesentlich mehr Leute interviewt.
Wolfi Gassler (01:00:40 - 01:00:46)
Das heißt jetzt nicht, dass wenn ihr uns auf Meetups trefft, dass wir dann immer Mikrofon dabei haben. Da müsst ihr jetzt keine Angst haben. Dennoch.
Dario Tigner (01:00:46 - 01:00:52)
Wobei wir sollten das immer öfter machen, aber lass uns mal wissen, ob das interessant ist, so andere Stimmen zu hören.
Wolfi Gassler (01:00:52 - 01:01:16)
Naja, also im Edit Modus muss man schon sagen, das ist schon hart viel Arbeit, solche Stimmen in diese Podcast Episoden mit reinzubekommen. Es wird ja jetzt nicht alles nur auf den. Da gehört schon eine ganze Menge dazu. Setup aufbauen, Aufnahmen sichten, wie integriert man diese? Also wenn man das mal macht, habe ich höchsten Respekt vor diesen TV und Radio Features immer.
Dario Tigner (01:01:16 - 01:01:30)
Ja gut, da gibt es auch mehr Leute dahinter. Aber habe ich das jetzt so durchklingen gehört dir was? Zu viel Aufwand. Also ich kann es verstehen, weil ich glaube, alleine das Sortieren dieser dummen Audio Files waren schon ein paar Stunden zu viel Aufwand.
Andy Grunwald (01:01:30 - 01:01:30)
Nicht?
Wolfi Gassler (01:01:30 - 01:01:57)
Ich fand es spaßig, mal als Experiment. Ob ich das Experiment noch mal wiederhole, weiß ich jetzt noch nicht. Schauen wir mal. Naja, wir hatten Spaß. Das war's von uns. Lasst uns mal wissen, falls ihr das Paper lesen, wie es euch gefallen hat. Gerne über Mastodon, LinkedIn oder in die Discord Community. Ansonsten lasst uns auch mal Star auf Spotify oder Apple Podcast da. Da gibt es so viel ich weiß, noch keine Fake Star Analyse. Zumindest habe ich noch kein Paper dazu gefunden.
Dario Tigner (01:01:57 - 01:02:01)
Kann man eigentlich unsere GitHub Page liken oder Star?
Wolfi Gassler (01:02:02 - 01:02:07)
Ja, man kann unserer Organisation folgen, GitHub com engineering Kiosk.
Dario Tigner (01:02:07 - 01:02:08)
Aber nur folgende.
Wolfi Gassler (01:02:08 - 01:02:10)
Ja, du kannst natürlich auch das Webpage.
Schepp Christian Schäfer (01:02:10 - 01:02:12)
Repository Star, das geht auch.
Dario Tigner (01:02:12 - 01:02:14)
Organization kann man nicht star schade.
Wolfi Gassler (01:02:14 - 01:02:25)
Okay, dann würde ich sagen, verabschieden wir uns und lassen Wolfgang mal weiter GitHub com discovern. Es war uns eine Freude. Wir hören uns nächste Woche wieder. Bis bald und tschüss.
Dario Tigner (01:02:25 - 01:02:26)
Ciao.