GitHub System um finanzielle Unterstützung für Open-Source-Projekte zu bieten. Der neue Dienst bietet eine Möglichkeit, sich an der Entwicklung von Projekten zu beteiligen – wenn ein Benutzer nicht in der Lage ist, an der Entwicklung mitzuhelfen, kann er sich als Sponsor an den interessierenden Projekten beteiligen und durch die Finanzierung spezifischer Entwickler, Maintainer, Designer, Dokumentationsautoren, Tester und anderer in das Projekt involvierter Teilnehmer unterstützen.
Durch das Sponsorensystem kann jeder GitHub-Nutzer jeden Monat feste Beträge an Entwickler von Open-Source-Projekten überweisen, als Teilnehmer im Dienst registriert haben und bereit sind, finanzielle Unterstützung zu erhalten (während der Testphase ist die Anzahl der Teilnehmer begrenzt). Unterstützte Teilnehmer können Unterstützungslevel und damit verbundene Privilegien für Sponsoren festlegen, wie z.B. bevorzugte Fehlerbehebung. Es wird auch die Möglichkeit geprüft, die Finanzierung nicht nur für Einzelpersonen, sondern auch für Gruppen von Entwicklern zu organisieren, die an dem Projekt arbeiten.
Im Gegensatz zu anderen Crowdfunding-Plattformen erhebt GitHub keine Vermittlungsgebühr und übernimmt im ersten Jahr die Kosten für die Zahlungsabwicklung. In Zukunft könnte jedoch eine Gebühr für die Zahlungsabwicklung eingeführt werden. Um den Service zu unterstützen, wurde der spezielle GitHub Sponsors Matching Fund eingerichtet, der sich um die Verteilung der finanziellen Mittel kümmert.
Neben dem Sponsoring bietet GitHub auch einen neuen Service zur Sicherstellung der Sicherheit von Projekten an, der auf Technologien basiert, die aus der Firma Dependabot hervorgegangen sind. Dependabot ist jetzt in GitHub integriert und kostenlos verfügbar.
Der Service ermöglicht das Verfolgen von Schwachstellen in Abhängigkeiten, das Versenden von Warnungen an Repository-Besitzer über bestehende Probleme in Abhängigkeiten und das automatische Öffnen von Pull-Requests zur Behebung festgestellter Schwachstellen.
Warnungen werden im Tab "Sicherheit" angezeigt und enthalten umfassende Informationen zu Schwachstellen und den betroffenen Projektdateien. Die Behebung erfolgt durch ein Update der Minimalversion in der Abhängigkeitsliste auf die Version, in der die Schwachstelle behoben wurde. Informationen zu Schwachstellen werden aus Datenbanken extrahiert und , sowie basierend auf Benachrichtigungen von den Projektbetreuern und einem automatischen Analysewerkzeug für Commits auf GitHub, gefolgt von einer Bestätigung im System der manuellen Überprüfung.
Für die Projektbetreuer eine Schnittstelle zur Veröffentlichung und Bereitstellung von Sicherheitsberichten (Sicherheitswarnungen) sowie zur privaten Diskussion von Fragen im Zusammenhang mit der Behebung von Schwachstellen.
Darüber hinaus wurde zur Verhinderung von von vertraulichen Daten in öffentlich zugänglichen Repositories ein Tokens und Zugangsschlüssel. Während des Commits überprüft der Scanner die typischen Formate der Schlüssel und Zugangstoken zu APIs wie Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe und Twilio. Bei der Identifizierung eines Tokens wird der Dienstanbieter um eine Bestätigung der möglichen Leckage und den Rückruf der kompromittierten Tokens gebeten.
Quelle: opennet.ru
