[Paper] 自动代码审查分配：GitHub 上代码所有权的另一种视角

Source: arXiv - 2512.05551v1

Overview

本文调查了 GitHub 的 CODEOWNERS 功能在真实项目中的实际使用情况及其对拉取请求（PR）审查动态的影响。通过分析跨数千个仓库的超过 844 k 个 PR，作者展示了自动分配审查者如何重塑所有权、加速审查并提升整体项目治理。

Key Contributions

• 大规模实证数据集：844 k 个 PR、190 万条评论、200 万次审查，以及在众多开源项目中识别出的 10 k 名代码所有者。
• 代码所有者行为分析：证明代码所有者遵循 CODEOWNERS 文件中的规则，并表现出与传统所有权度量相似的协作模式。
• 工作流影响：显示涉及代码所有者的 PR 往往进展更顺畅，关闭速度随时间加快。
• 基于 RDD 的因果证据：使用回归不连续设计揭示采用 CODEOWNERS 会将审查职责从核心开发者转移到指定所有者。
• 实用指南：为希望通过自动审查者分配加强安全性、问责制和效率的项目提供可操作的建议。

Methodology

1. 数据收集 – 作者利用 GitHub 公共 API 抓取了数千个仓库的 PR、评论、审查以及 CODEOWNERS 文件内容。
2. 所有者识别 – 解析每个 CODEOWNERS 文件，将文件路径模式映射到具体的 GitHub 用户名，得到 10 287 位不同的代码所有者。
3. 指标计算 – 对每个 PR 记录是否自动请求了代码所有者、首次审查的时间、总审查次数以及评论情感。
4. 对比分析 – 使用描述性统计和生存分析比较有无代码所有者分配的 PR，以评估速度和流畅度。
5. 因果推断 – 在仓库引入 CODEOWNERS 文件的节点附近应用回归不连续设计（RDD），隔离采用对审查分布和延迟的影响。

Results & Findings

• 规则遵守：在 >85 % 的情况下，CODEOWNERS 自动添加的审查者实际参与了审查，确认开发者尊重文件的规定。
• 协作相似性：代码所有者的交互网络（如共同审查、评论）与通过文件变更历史识别的传统所有者相似。
• 更快的 PR 周期：涉及代码所有者的 PR 平均 提前 12 % 关闭，且需要的审查评论 减少 8 %，表明协商更顺畅。
• 所有权再分配：仓库采用 CODEOWNERS 后，核心开发者执行的审查比例下降约 15 %，而指定所有者承担了更大份额的工作量。
• 安全视角：对关键目录（如身份验证、CI 脚本）明确列出所有者的项目，合并后 bug 报告略有下降，暗示一定的保护作用。

Practical Implications

• 尽早采用 CODEOWNERS：团队可在项目初期即嵌入该文件，以正式化责任并避免后期随意选择审查者。
• 针对高风险区域：为安全敏感路径分配所有者，组织可以强制专家审查，从而降低供应链攻击风险。
• 平衡工作负载：自动分配有助于更均匀地分配审查任务，防止核心维护者倦怠并促进更广泛的贡献者参与。
• 工具集成：CI 流水线可以查询 CODEOWNERS 映射，在合并前执行额外检查（例如要求所有者的签名提交）。
• 治理指标：研究中的指标（审查延迟、所有者参与率）可纳入仪表盘，用于监控审查过程的健康状况。

Limitations & Future Work

• 仅限开源：分析局限于公共 GitHub 仓库；私有或企业环境可能呈现不同的采用模式。
• 所有者粒度：研究将任何匹配的用户名视为所有者，未考虑团队别名或层级所有权结构。
• 因果推断限制：尽管 RDD 提供了强有力的证据，但未观测到的混杂因素（如同步的流程变更）仍可能影响结果。
• 未来方向：将研究扩展到其他平台（GitLab、Bitbucket），探讨 CODEOWNERS 对安全事件率的影响，并开发基于代码变更历史自动建议最佳所有权规则的工具。

Authors

• Jai Lal Lulla
• Raula Gaikovina Kula
• Christoph Treude

Paper Information

• arXiv ID: 2512.05551v1
• Categories: cs.SE
• Published: December 5, 2025
• PDF: Download PDF