GitHub systém poskytovat finanční podporu open source projektům. Nová služba poskytuje novou formu participace na vývoji projektů – pokud uživatel není schopen pomoci s vývojem, pak se může napojit na zajímavé projekty jako sponzor a pomoci prostřednictvím financování konkrétních vývojářů, správců, designérů, autorů dokumentace , testeři a další účastníci zapojení do projektu.
Pomocí sponzorského systému může každý uživatel GitHubu převádět fixní částky měsíčně vývojářům s otevřeným zdrojovým kódem, ve službě jako účastníci připraveni získat finanční podporu (během testování služby je počet účastníků omezen). Sponzorovaní členové mohou definovat úrovně podpory a související výhody pro sponzory, jako jsou prioritní opravy chyb. Uvažuje se o možnosti organizovat financování nejen pro jednotlivé účastníky, ale i pro skupiny vývojářů zapojených do práce na projektu.
Na rozdíl od jiných crowdfundingových platforem si GitHub neúčtuje poplatek za zprostředkování a první rok pokryje i náklady na zpracování plateb. Do budoucna je možné zavést poplatek za zpracování platby. Pro podporu služby byl vytvořen speciální fond GitHub Sponsors Matching Fund, který bude rozdělovat finanční toky.
Kromě sponzorství GitHub také nová služba pro zajištění bezpečnosti projektů postavená na základě získaných technologií od Dependabot. Dependabot je nyní zabudován do GitHubu a je k dispozici zdarma.
Služba umožňuje monitorovat zranitelnosti v závislostech, odesílat varování vlastníkům úložišť o problémech se závislostmi a automaticky otevírat žádosti o stažení k opravě zjištěných zranitelností.
Výstrahy se zobrazují na kartě Zabezpečení a obsahují komplexní informace o zranitelnosti a souborech projektu, kterých se problém týká. Oprava je generována aktualizací seznamu závislostí minimální verze na verzi, která řeší chybu zabezpečení. Informace o zranitelnostech jsou získávány z databází и , a také na základě oznámení od správců projektu a automatického analyzátoru odevzdání na GitHubu s následným potvrzením v systému ruční kontroly.
Pro správce projektu rozhraní pro publikování a zveřejňování zpráv o zranitelnosti (bezpečnostní rady) a také pro soukromou diskusi v uzavřeném kruhu problémů souvisejících s opravou zranitelností.
Navíc k ochraně proti byla zprovozněna důvěrná data do veřejně přístupných úložišť tokeny a přístupové klíče. Během potvrzení skener kontroluje běžné formáty klíčů a přístupové tokeny API pro Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe a Twilio. Pokud je identifikován token, je poskytovateli služeb odeslán požadavek na potvrzení úniku a odvolání kompromitovaných tokenů.
Zdroj: opennet.ru