Modelo de Gobernanza de Stella Ops
Las decisiones se toman de forma abierta, utilizando lazy-consensus y reglas de escalado claras — sin canales ocultos, sin reescrituras sorpresa.
1 · Flujo de trabajo lazy-consensus
- Pull-request abierto →
+1por defecto. - Temporizadores:
- Docs / no-código: 48 h
- Código y tests: 7 × 24 h
- Veto (
-1) debe incluir una preocupación concreta y un camino hacia la resolución. - Silencio = aprobación cuando expire el temporizador.
2 · Umbrales de aprobación de mantenedores
| Clase de cambio | Aprobaciones requeridas | Ejemplo |
|---|---|---|
| Trivial | 0 | Erratas, correcciones de comentarios |
| Código / docs no triviales | 2 mantenedores | Feature flags, nuevos endpoints de API |
| Seguridad / API con cambios incompatibles | Lazy consensus + security-LGTM explícito | Lógica de validación JWT, cambios de criptografía |
3 · Cómo convertirse en mantenedor
- Contribuir PRs de alta calidad de forma consistente durante 3+ meses.
- Obtener una nominación de un mantenedor existente.
- Recibir ≥ ⅔ de mayoría
+1en una votación de 7 días. - Firmar el
MAINTAINER_AGREEMENT.mdy habilitar 2FA en las cuentas.
4 · Releases etiquetadas y firmas
- Al menos un mantenedor de seguridad co-firma cada etiqueta de release.
- CI emite un
SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su softwareSPDXSoftware Package Data Exchange – otro formato estándar abierto para SBOMs, ampliamente usado en código abiertofirmado y procedenciaCosignHerramienta de firma de contenedores del proyecto Sigstore para firmar y verificar imágenes de contenedores y artefactos. - Los candidatos a release siguen el cronograma anunciado.
5 · Disputas y escalado de seguridad
- Bloqueos técnicos: escalar a una llamada de Cumbre de Mantenedores, actas publicadas públicamente.
- Bugs de seguridad: manejados bajo la política de divulgación responsable.
- Violaciones del Código de Conducta: seguir la escalera de escalado de
docs/12_CODE_OF_CONDUCT.md.