GitHub sistema para proporcionar apoyo financiero a proyectos de código abierto. El nuevo servicio proporciona una nueva forma de participación en el desarrollo de proyectos: si el usuario no puede ayudar en el desarrollo, puede conectarse a proyectos de su interés como patrocinador y ayudar mediante la financiación de desarrolladores, mantenedores, diseñadores y autores de documentación específicos. , probadores y otros participantes involucrados en el proyecto.
Usando el sistema de patrocinio, cualquier usuario de GitHub puede donar cantidades fijas mensualmente a desarrolladores de código abierto. en el servicio como participantes dispuestos a recibir apoyo financiero (durante la prueba del servicio el número de participantes es limitado). Los miembros patrocinados pueden definir niveles de soporte y beneficios asociados para los patrocinadores, como correcciones de errores prioritarias. Se está considerando la posibilidad de organizar financiación no sólo para los participantes individuales, sino también para los grupos de desarrolladores que participan en el proyecto.
A diferencia de otras plataformas de crowdfunding, GitHub no cobra ninguna tarifa por la intermediación y también cubrirá los costos de procesamiento de pagos durante el primer año. En el futuro, es posible introducir una tarifa por el procesamiento de pagos. Para respaldar el servicio, se ha creado un fondo especial, GitHub Sponsors Matching Fund, que distribuirá los flujos financieros.
Además del patrocinio de GitHub también un nuevo servicio para garantizar la seguridad de los proyectos, construido sobre la base de las tecnologías obtenidas como resultado por Dependabot. Dependabot ahora está integrado en GitHub y está disponible de forma gratuita.
El servicio le permite monitorear vulnerabilidades en dependencias, enviar advertencias a los propietarios de repositorios sobre problemas de dependencias y abrir automáticamente solicitudes de extracción para corregir vulnerabilidades identificadas.
Las alertas se muestran en la pestaña Seguridad e incluyen información completa sobre la vulnerabilidad y los archivos del proyecto afectados por el problema. La solución se genera actualizando la lista de dependencia de la versión mínima a una versión que corrija la vulnerabilidad. La información sobre vulnerabilidades se recupera de bases de datos. и , así como basado en notificaciones de los mantenedores del proyecto y un analizador de confirmación automático en GitHub con confirmación posterior en el sistema de revisión manual.
Para mantenedores de proyectos una interfaz para publicar y publicar informes sobre vulnerabilidades (avisos de seguridad), así como para discusiones privadas en un círculo cerrado de temas relacionados con la reparación de vulnerabilidades.
Además, para protegerse contra se han puesto en funcionamiento datos confidenciales en repositorios de acceso público tokens y claves de acceso. Durante una confirmación, el escáner verifica formatos de clave comunes y tokens de acceso a API para Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe y Twilio. Si se identifica un token, se envía una solicitud al proveedor de servicios para confirmar la filtración y revocar los tokens comprometidos.
Fuente: opennet.ru