GitHub System Bereitstellung finanzieller Unterstützung für Open-Source-Projekte. Der neue Dienst bietet eine neue Form der Beteiligung an der Entwicklung von Projekten – wenn der Benutzer nicht in der Lage ist, bei der Entwicklung mitzuhelfen, kann er sich als Sponsor mit Projekten verbinden, die ihn interessieren, und durch die Finanzierung bestimmter Entwickler, Betreuer, Designer und Dokumentationsautoren helfen , Tester und andere am Projekt beteiligte Teilnehmer.
Mithilfe des Sponsoring-Systems kann jeder GitHub-Benutzer monatlich feste Beträge an Open-Source-Entwickler spenden. als Teilnehmer am Dienst teilnehmen und bereit sind, finanzielle Unterstützung zu erhalten (während der Erprobung des Dienstes ist die Anzahl der Teilnehmer begrenzt). Gesponserte Mitglieder können Supportstufen und damit verbundene Vorteile für Sponsoren definieren, wie zum Beispiel vorrangige Fehlerbehebungen. Es wird über die Möglichkeit nachgedacht, die Finanzierung nicht nur für einzelne Teilnehmer, sondern auch für Gruppen von Entwicklern zu organisieren, die an der Arbeit am Projekt beteiligt sind.
Im Gegensatz zu anderen Crowdfunding-Plattformen erhebt GitHub keine Vermittlungsgebühr und übernimmt im ersten Jahr auch die Kosten für die Zahlungsabwicklung. Zukünftig besteht die Möglichkeit, eine Gebühr für die Zahlungsabwicklung einzuführen. Zur Unterstützung des Dienstes wurde ein spezieller Fonds, der GitHub Sponsors Matching Fund, eingerichtet, der die Finanzströme verteilt.
Zusätzlich zum GitHub-Sponsoring auch ein neuer Dienst zur Gewährleistung der Sicherheit von Projekten, der auf der Grundlage der daraus gewonnenen Technologien aufgebaut ist von Dependabot. Dependabot ist jetzt in GitHub integriert und kostenlos verfügbar.
Mit dem Dienst können Sie Schwachstellen in Abhängigkeiten überwachen, Warnungen an Repository-Besitzer über Abhängigkeitsprobleme senden und automatisch Pull-Anfragen öffnen, um identifizierte Schwachstellen zu beheben.
Warnungen werden auf der Registerkarte „Sicherheit“ angezeigt und enthalten umfassende Informationen über die Schwachstelle und die von dem Problem betroffenen Projektdateien. Der Fix wird generiert, indem die Mindestversionsabhängigkeitsliste auf eine Version aktualisiert wird, die die Schwachstelle behebt. Informationen zu Schwachstellen werden aus Datenbanken abgerufen и , sowie basierend auf Benachrichtigungen von Projektbetreuern und einem automatischen Commit-Analysator auf GitHub mit anschließender Bestätigung im manuellen Überprüfungssystem.
Für Projektbetreuer eine Schnittstelle zum Veröffentlichen und Posten von Berichten über Schwachstellen (Sicherheitshinweise) sowie für private Diskussionen in einem geschlossenen Themenkreis im Zusammenhang mit der Behebung von Schwachstellen.
Darüber hinaus zum Schutz vor Die Speicherung vertraulicher Daten in öffentlich zugänglichen Repositorien wurde in Betrieb genommen Token und Zugangsschlüssel. Während eines Commits überprüft der Scanner gängige Schlüsselformate und API-Zugriffstoken für Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe und Twilio. Wenn ein Token identifiziert wird, wird eine Anfrage an den Dienstanbieter gesendet, um das Leck zu bestätigen und die kompromittierten Token zu widerrufen.
Source: opennet.ru