GitHub süsteemi rahaliselt toetada avatud lähtekoodiga projekte. Uus teenus pakub projektiarenduses osalemiseks uut vormi – kui kasutajal ei ole võimalik arenduses kaasa aidata, siis saab ta liituda huvipakkuvate projektidega sponsorina ning aidata rahastades konkreetseid arendajaid, hooldajaid, projekteerijaid, dokumentatsiooni koostajaid. , testijad ja teised projektiga seotud osalejad.
Sponsorlussüsteemi kasutades saab iga GitHubi kasutaja annetada igakuiselt fikseeritud summasid avatud lähtekoodiga arendajatele, teenuses osalejatena, kes on valmis saama rahalist toetust (teenuse testimise ajal on osalejate arv piiratud). Sponsoreeritud liikmed saavad määratleda sponsorite tugitasemed ja sellega seotud eelised, näiteks prioriteetsed veaparandused. Kaalutakse võimalust rahastada mitte ainult üksikuid osalejaid, vaid ka projektiga seotud arendajate gruppe.
Erinevalt teistest ühisrahastusplatvormidest ei võta GitHub vahendustasu ning katab esimesel aastal ka maksete töötlemise kulud. Edaspidi on võimalik kehtestada maksete töötlemise tasu. Teenuse toetamiseks on loodud spetsiaalne fond GitHub Sponsors Matching Fund, mis jaotab rahavoogusid.
Lisaks GitHubi sponsorlusele ka uus projektide turvalisuse tagamise teenus, mis on üles ehitatud selle tulemusena saadud tehnoloogiate baasil Dependaboti poolt. Dependabot on nüüd GitHubisse sisse ehitatud ja saadaval tasuta.
Teenus võimaldab teil jälgida sõltuvuste haavatavusi, saata hoidla omanikele hoiatusi sõltuvusprobleemide kohta ja avada automaatselt tõmbetaotlused tuvastatud haavatavuste parandamiseks.
Märguanded kuvatakse vahekaardil Turvalisus ja need sisaldavad põhjalikku teavet haavatavuse ja probleemist mõjutatud projektifailide kohta. Parandus luuakse, värskendades minimaalse versiooni sõltuvuste loendit versioonile, mis parandab haavatavuse. Teavet haavatavuste kohta hangitakse andmebaasidest и , samuti projekti hooldajate teadete ja GitHubi automaatse sidumisanalüsaatori põhjal koos hilisema kinnitusega käsitsi ülevaatuse süsteemis.
Projektide hooldajatele liides turvaaukude aruannete avaldamiseks ja postitamiseks (turvanõuanded), samuti privaatseks aruteluks haavatavuste parandamisega seotud küsimuste suletud ringis.
Lisaks kaitseks konfidentsiaalsed andmed avalikult juurdepääsetavatesse hoidlatesse on kasutusele võetud märgid ja juurdepääsuvõtmed. Kinnituse ajal kontrollib skanner Alibaba Cloudi, Amazon Web Servicesi (AWS), Azure'i, GitHubi, Google Cloudi, Mailguni, Slacki, Stripe'i ja Twilio levinud võtmevorminguid ja API-juurdepääsumärke. Token tuvastamisel saadetakse teenusepakkujale taotlus lekke kinnitamiseks ja rikutud žetoonide tühistamiseks.
Allikas: opennet.ru