GitHub systemet at yde økonomisk støtte til open source-projekter. Den nye service giver en ny form for deltagelse i udviklingen af projekter - hvis brugeren ikke er i stand til at hjælpe med udviklingen, så kan han forbinde sig til projekter af interesse som sponsor og hjælpe gennem finansiering af specifikke udviklere, vedligeholdere, designere, dokumentationsforfattere , testere og andre deltagere involveret i projektet.
Ved at bruge sponsorsystemet kan enhver GitHub-bruger donere faste beløb månedligt til open source-udviklere, i tjenesten som deltagere klar til at modtage økonomisk støtte (under test af tjenesten er antallet af deltagere begrænset). Sponsorerede medlemmer kan definere supportniveauer og tilhørende fordele for sponsorer, såsom prioriterede fejlrettelser. Muligheden for at organisere finansiering ikke kun for individuelle deltagere, men også for grupper af udviklere, der er involveret i arbejdet med projektet, overvejes.
I modsætning til andre crowdfunding-platforme opkræver GitHub ikke et gebyr for formidling, og vil også dække betalingsbehandlingsomkostninger det første år. I fremtiden er det muligt at indføre et gebyr for betalingsbehandling. For at understøtte tjenesten er der oprettet en særlig fond, GitHub Sponsors Matching Fund, som skal fordele pengestrømme.
Ud over GitHub-sponsorat også en ny service til sikring af projekters sikkerhed, bygget på baggrund af teknologier opnået som resultat af Dependabot. Dependabot er nu indbygget i GitHub og tilgængelig gratis.
Tjenesten giver dig mulighed for at overvåge sårbarheder i afhængigheder, sende advarsler til lagerejere om afhængighedsproblemer og automatisk åbne pull-anmodninger for at rette identificerede sårbarheder.
Advarsler vises på fanen Sikkerhed og inkluderer omfattende oplysninger om sårbarheden og de projektfiler, der er berørt af problemet. Rettelsen genereres ved at opdatere listen over minimum versionsafhængighed til en version, der løser sårbarheden. Oplysninger om sårbarheder hentes fra databaser и , samt baseret på notifikationer fra projektvedligeholdere og en automatisk commit-analysator på GitHub med efterfølgende bekræftelse i det manuelle gennemgangssystem.
Til projektvedligeholdere en grænseflade til publicering og udsendelse af rapporter om sårbarheder (sikkerhedsrådgivning), samt til privat diskussion i en lukket kreds af problemstillinger relateret til udbedring af sårbarheder.
Derudover for at beskytte mod fortrolige data i offentligt tilgængelige arkiver er blevet sat i drift tokens og adgangsnøgler. Under en commit kontrollerer scanneren almindelige nøgleformater og API-adgangstokens for Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe og Twilio. Hvis et token identificeres, sendes en anmodning til tjenesteudbyderen om at bekræfte lækagen og tilbagekalde de kompromitterede tokens.
Kilde: opennet.ru