GitHub стартира финансова поддръжка и услуги за докладване на уязвимости

GitHub изпълнени системата спонсорство за предоставяне на финансова подкрепа за проекти с отворен код. Новата услуга предоставя нова форма на участие в разработването на проекти - ако потребителят не може да помогне в разработването, тогава той може да се свърже с интересни проекти като спонсор и да помогне чрез финансиране на конкретни разработчици, поддържащи, дизайнери, автори на документация , тестери и други участници, участващи в проекта.

Използвайки системата за спонсорство, всеки потребител на GitHub може да дарява фиксирани суми месечно на разработчици с отворен код, регистриран в услугата като участници, готови да получат финансова подкрепа (по време на тестването на услугата броят на участниците е ограничен). Спонсорираните членове могат да определят нивата на поддръжка и свързаните с това предимства за спонсорите, като приоритетни корекции на грешки. Обмисля се възможността за организиране на финансиране не само за отделни участници, но и за групи разработчици, участващи в работата по проекта.

За разлика от други платформи за групово финансиране, GitHub не начислява такса за посредничество и също така покрива разходите за обработка на плащания за първата година. В бъдеще е възможно да се въведе такса за обработка на плащанията. В подкрепа на услугата е създаден специален фонд GitHub Sponsors Matching Fund, който ще разпределя финансовите потоци.

В допълнение към спонсорството на GitHub също подадено нова услуга за гарантиране сигурността на проекти, изградени на базата на получени в резултат технологии поглъщания от Dependabot. Dependabot вече е вграден в GitHub и се предлага безплатно.
Услугата ви позволява да наблюдавате уязвимостите в зависимостите, да изпращате предупреждения до собствениците на хранилища за проблеми със зависимостите и автоматично да отваряте заявки за изтегляне, за да коригирате идентифицирани уязвимости.

Сигналите се показват в раздела Сигурност и включват изчерпателна информация за уязвимостта и файловете на проекта, засегнати от проблема. Корекцията се генерира чрез актуализиране на списъка със зависимости на минималната версия до версия, която коригира уязвимостта. Информацията за уязвимостите се извлича от бази данни МИТЪР CVE и WhiteSource, както и въз основа на известия от поддържащите проекти и автоматичен анализатор на ангажименти в GitHub с последващо потвърждение в системата за ръчен преглед.

За поддържащите проекти пуснат в експлоатация интерфейс за публикуване и публикуване на доклади за уязвимости (съвети за сигурност), както и за частна дискусия в затворен кръг на въпроси, свързани с коригиране на уязвимости.

В допълнение, за защита срещу хитове поверителни данни в публично достъпни хранилища са въведени в експлоатация скенер токени и ключове за достъп. По време на ангажимент скенерът проверява общите ключови формати и токените за достъп до API за Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio. Ако бъде идентифициран токен, се изпраща заявка до доставчика на услугата за потвърждаване на изтичането и отмяна на компрометираните токени.

Източник: opennet.ru