Propriétaires de dépôts GitHub : Utilisez le drapeau --author de Git pour bloquer le spam des bots IA

L'équipe d'Archestra (une startup de plateforme IA) croulait sous le spam de bots IA — 253 commentaires sur un seul ticket de prime, 27 PRs pour une fonctionnalité jamais testée, et un coût de nettoyage hebdomadaire d'une demi-journée. Leur repo est devenu hostile aux contributeurs réels. Ils avaient besoin d'une whitelist, mais GitHub ne la prend pas en charge nativement pour les repos publics. Leur astuce : abuser du paramètre Limit to prior contributors et du flag --author de Git.

Le problème : le bruit IA sur GitHub

Les bots généraient des « plans d'implémentation » à l'infini et des réponses agressives. Les vrais contributeurs comme @ethanwater, @developerfred et @Geetk172 étaient ignorés. Même leur première tentative — un bot de réputation appelé « London-Cat » — n'a pas arrêté le spam. Un « shérif IA » fermait des PRs légitimes. La seule vraie solution était de conditionner les contributions à une vérification humaine.

Comment fonctionne l'astuce de la whitelist

Le paramètre « Limit to prior contributors » de GitHub bloque quiconque n'a pas commis de commit sur main. Mais les commits Git ont deux champs d'identité : author et committer. En utilisant --author, vous pouvez attribuer un commit à quelqu'un d'autre — GitHub accorde le statut de contributeur si l'email correspond à l'email noreply GitHub de l'utilisateur cible (<id>+<username>@users.noreply.github.com).

# Rechercher l'ID GitHub d'un utilisateur
gh api users /their-username --jq '.id'

# Commiter sous son nom (email = [email protected])
git commit \
  --author="their-username <[email protected]>" \
  -m "chore: add their-username to external contributors"

Poussez sur main, et cet utilisateur peut immédiatement commenter, ouvrir des issues et soumettre des PRs. Le commit montre l'utilisateur externe comme auteur ; votre compte apparaît comme committer. C'est tout ce dont GitHub a besoin pour le considérer comme un « prior contributor ».

Flux d'intégration complet

1. L'utilisateur visite archestra.ai/contributor-onboard et complète un CAPTCHA tout en acceptant les règles d'IA éthique.
2. Lors de la soumission du formulaire, une GitHub Action se déclenche, recherche l'ID GitHub de l'utilisateur via l'API et ajoute son handle à un fichier EXTERNAL_CONTRIBUTORS.md.
3. L'action pousse un commit sur main dont l'auteur est l'utilisateur externe — lui accordant immédiatement le statut de contributeur.

C'est une option nucléaire pour une startup soutenue par du capital-risque qui mesure l'activité GitHub, mais la qualité a primé sur les métriques de vanité.

C'est du bricolage, mais ça marche. Pas de filtre anti-spam tiers — juste une utilisation astucieuse des champs d'identité de Git et d'un flux de validation en deux étapes.