Auf Mastodon ansehen
Die Verwaltung eines beliebten Open-Source-Projekts ist mit viel Arbeit verbunden. Dies gilt insbesondere für eine sicherheitskritische Anwendung wie KeePassXC, mit der Menschen auf der ganzen Welt ihre sensibelsten Daten schützen können. Angesichts dessen hat das Team von KeePassXC einen robusten Qualitätskontrollprozess implementiert, der sicherstellt, dass der gesamte Code, der in die Produktion übernommen wird, gründlich geprüft, getestet und freigegeben wird.
Vor kurzem wurden die Beitragsrichtlinien und die Readme-Datei geändert, um Code zu behandeln, der von generativer KI erstellt wurde. Dazu wurde dieser Absatz hinzugefügt:
Generative KI wird in den meisten Entwicklungsumgebungen, einschließlich GitHub selbst, schnell zu einer First-Party-Funktion. Wenn der Großteil einer Code-Einreichung mit generativer KI (z. B. agentenbasiertem oder Vibe-Coding) erstellt wurde, werden wir dies im Pull-Request dokumentieren. Alle Code-Einreichungen durchlaufen einen strengen Überprüfungsprozess, unabhängig vom Entwicklungs-Workflow oder Einreicher.
Diese Aussage hat eine Vielzahl von Reaktionen ausgelöst, die von einfachen Fragen bis hin zu ernsthaften Bedenken reichten. Darauf hat das KeePassXC-Team reagiert, indem es erklärt, wie KI eingesetzt und wie die Sicherheit des Projekts gewährleistet wird:
Bevor wir jedoch unseren Prozess für KI-Beiträge erläutern können, sollten wir zunächst unseren allgemeinen Workflow für Code-Beiträge erklären:
Das KeePassXC-Team hat fünf Maintainer, die Code in den Entwicklungszweig einpflegen können, darunter zwei Core-Maintainer mit Administratorzugriff auf die Organisation. Code-Beiträge werden in der Regel als Pull-Request auf GitHub gepostet. Der auf diese Weise eingereichte Code durchläuft unsere CI-Pipeline zur grundlegenden Qualitätssicherung und wird anschließend von einem der Maintainer Zeile für Zeile getestet und überprüft. Die Zusammenführung wird blockiert, bis mindestens ein Maintainer die Änderungen genehmigt hat. Wenn die Änderungen von einem Maintainer vorgeschlagen wurden, übernimmt ein anderer Maintainer die Überprüfung. Diese Richtlinie wird auch bei kleinen Änderungen strikt eingehalten. Nach der Überprüfung werden die eingereichten Commits zu einem einzigen Commit zusammengefasst, um sicherzustellen, dass nur der getestete Top-Status in den Hauptzweig gelangt, und die CI wird nach der Zusammenführung des Commits erneut ausgeführt.
Wie das Team erklärt, ist dieser Prozess vollständig transparent und für jedermann einsehbar und ändert sich auch durch den Einsatz von KI nicht. Bei KeePassXC wird KI hauptsächlich für zwei Zwecke eingesetzt:
Als zusätzliches Paar „Augen” bei der Codeüberprüfung.
In dieser Funktion fasst die KI die Änderungen zusammen (der am wenigsten hilfreiche Teil) und weist auf Implementierungsfehler hin, die einem menschlichen Prüfer möglicherweise entgangen sind. KI-Prüfungen ersetzen weder die Codeüberprüfung durch die Betreuer noch entbinden sie diese von ihrer Sorgfaltspflicht. KI-Codeüberprüfungen ergänzen unsere bestehenden CI-Pipelines, die Unit-Tests, Speicherprüfungen und statische Codeanalysen (CodeQL) durchführen. Als solche sind sie ein Nettovorteil und machen KeePassXC deutlich sicherer.
Zum Erstellen von Pull-Request, die einfache und fokussierte Probleme lösen, werden Boilerplate-Code und Testfälle hinzugefügt.
Leider hatten einige Leute den Eindruck, dass KeePassXC nun mit Vibe-Code programmiert wird. Das ist falsch. Wir programmieren nicht nach Gefühl, und kein ungeprüfter KI-Code gelangt in die Codebasis. Wir haben den Copilot-Agenten verwendet, um Pull-Anfragen zu entwerfen, die anschließend in Folge-Commits optimiert und von einem Maintainer überprüft werden, offen für jedermann einsehbar und mit der gleichen Sorgfalt wie jede andere Einreichung. Gute Pull-Requests werden zusammengeführt, schlechte Pull-Request werden abgelehnt.
Das Team betont, dass all dies nur ein Teil des Entwicklungsprozesses ist, und sie betonen:
KeePassXC enthält keine KI-Funktionen und wird auch niemals welche enthalten!
Falls ihr mehr darüber lesen möchtet, finden sich in der Quelle (englisch) weitere Argumente des KeePassXC-Teams.
Titelbild (modifiziert): https://keepassxc.org/assets/img/frontpage-hero.svg
Quelle: https://keepassxc.org/blog/2025-11-09-about-keepassxcs-code-quality-control/
