GitHub сістэму для аказання фінансавай падтрымкі адкрытым праектам. Новы сэрвіс дае новую форму ўдзелу ў развіцці праектаў — калі карыстальнік не мае магчымасці дапамагчы ў распрацоўцы, то ён можа падключыцца да праектаў, якія іх цікавяць, як спонсар і дапамагаць праз фінансаванне канкрэтных распрацоўшчыкаў, мэйнтэйнераў, дызайнераў, аўтараў дакументацыі, тэсціроўшчыкаў і іншых уцягнутых у праект удзельнікаў.
Пры дапамозе сістэмы спонсарства любы карыстач GitHub можа штомесяц пералічваць фіксаваныя сумы распрацоўнікам адкапанага кода, у сэрвісе ў якасці ўдзельнікаў, гатовых атрымліваць фінансавую падтрымку (на час тэсціравання сэрвісу колькасць удзельнікаў абмежавана). Удзельнікі, якія спансуюцца, могуць вызначаць узроўні падтрымкі і звязаныя з імі прывілеі для спонсараў, такія як пазачарговае ўстараненне памылак. Разглядаецца магчымасць арганізацыі фінансавання не толькі асобных удзельнікаў, але і груп распрацоўшчыкаў, уцягнутых у працу над праектам.
У адрозненне ад іншых пляцовак сумеснага фінансавання GitHub не бярэ сабе пэўны працэнт за пасярэдніцтва, а таксама першы год будзе пакрываць выдаткі на апрацоўку плацяжоў. У далейшым не выключаецца ўвядзенне адлічэння за апрацоўку плацяжоў. Для суправаджэння сэрвісу створаны спецыяльны фонд GitHub Sponsors Matching Fund, які будзе займацца размеркаваннем фінансавых патокаў.
Акрамя спонсарства GitHub таксама новы сэрвіс для забеспячэння бяспекі праектаў, пабудаваны на базе тэхналогій, атрыманых у выніку кампаніі Dependabot. Dependabot зараз убудаваны ў GitHub і даступны бясплатна.
Сэрвіс дазваляе адсочваць уразлівасці ў залежнасцях, адпраўляць уладальнікам рэпазітароў папярэджання аб наяўнасці праблем у залежнасці і аўтаматычна адчыняць pull-запыты для выпраўлення выяўленых уразлівасцяў.
Папярэджанні адлюстроўваюцца ва ўкладцы "Security" і ўключаюць вычарпальныя звесткі аб уразлівасці і файлах праекта, якія закранае праблема. Выпраўленне генеруюцца праз абнаўленне ў спісе залежнасцяў мінімальнай версіі на версію, у якой уразлівасць ухіленая. Звесткі аб уразлівасцях здабываюцца з баз и , а таксама на аснове апавяшчэнняў ад мэйнтэйнераў праектаў і аўтаматычнага аналізатара комітаў на GitHub c наступным пацверджаннем у сістэме ручнога рэцэнзавання.
Для мэйнтэйнераў праектаў інтэрфейс для публікацыі і размяшчэння справаздач аб уразлівасцях (security advisories), а таксама для прыватнага абмеркавання ў закрытым коле пытанняў, звязаных з выпраўленнем уразлівасцяў.
Акрамя таго для абароны ад канфідэнцыйных дадзеных у публічна даступныя рэпазітары ўведзены ў строй токенаў і ключоў доступу. Падчас коміта сканер правярае тыпавыя фарматы ключоў і токены доступу да API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe і Twilio. У выпадку выяўлення токена сэрвіс-правайдэру накіроўваецца запыт для пацверджання ўцечкі і адклікання скампраметаваных токенаў.
Крыніца: opennet.ru