GitHub järjestelmä tarjota taloudellista tukea avoimen lähdekoodin hankkeille. Uusi palvelu tarjoaa uudenlaisen osallistumismuodon projektien kehittämiseen - jos käyttäjä ei pysty osallistumaan kehitystyössä, hän voi liittyä kiinnostaviin projekteihin sponsorina ja auttaa rahoittamalla tiettyjä kehittäjiä, ylläpitäjiä, suunnittelijoita, dokumenttien tekijöitä. , testaajat ja muut projektiin osallistujat.
Sponsorointijärjestelmän avulla jokainen GitHub-käyttäjä voi lahjoittaa kiinteää summaa kuukausittain avoimen lähdekoodin kehittäjille, palvelussa osallistujina, jotka ovat valmiita saamaan taloudellista tukea (palvelun testauksen aikana osallistujamäärä on rajoitettu). Sponsoroidut jäsenet voivat määrittää tukitasoja ja niihin liittyviä etuja sponsoreille, kuten ensisijaiset virheenkorjaukset. Harkitaan mahdollisuutta järjestää rahoitusta yksittäisten osallistujien lisäksi myös hankkeessa mukana oleville kehittäjäryhmille.
Toisin kuin muut joukkorahoitusalustat, GitHub ei veloita välityspalkkiota, ja se kattaa myös maksujen käsittelykulut ensimmäisen vuoden aikana. Jatkossa maksujen käsittelystä on mahdollista ottaa käyttöön maksu. Palvelun tukemiseksi on perustettu erityinen rahasto, GitHub Sponsors Matching Fund, joka jakaa rahavirtoja.
GitHub-sponsoroinnin lisäksi myös uusi projektien turvallisuuden varmistava palvelu, joka on rakennettu tuloksena saatujen teknologioiden pohjalta kirjoittanut Dependabot. Dependabot on nyt sisäänrakennettu GitHubiin ja saatavilla ilmaiseksi.
Palvelun avulla voit seurata riippuvuuksien haavoittuvuuksia, lähettää varoituksia arkiston omistajille riippuvuusongelmista ja automaattisesti avata vetopyyntöjä havaittujen haavoittuvuuksien korjaamiseksi.
Hälytykset näkyvät Suojaus-välilehdessä, ja ne sisältävät kattavat tiedot haavoittuvuudesta ja projektitiedostoista, joihin ongelma vaikuttaa. Korjaus luodaan päivittämällä vähimmäisversioiden riippuvuusluettelo versioon, joka korjaa haavoittuvuuden. Tietoa haavoittuvuuksista haetaan tietokannoista и , samoin kuin projektien ylläpitäjien ilmoituksiin ja GitHubin automaattiseen sitoutumisanalysaattoriin, jonka myöhemmäksi vahvistetaan manuaalisessa tarkistusjärjestelmässä.
Projektien ylläpitäjille rajapinta haavoittuvuuksia koskevien raporttien julkaisemiseen ja julkaisemiseen (tietoturvatiedotteet) sekä yksityiseen keskusteluun haavoittuvuuksien korjaamiseen liittyvien asioiden suljetussa kierrossa.
Lisäksi suojaamaan vastaan luottamuksellisten tietojen siirtäminen julkisiin arkistoihin on otettu käyttöön tunnukset ja pääsyavaimet. Toiminnan aikana skanneri tarkistaa yleiset avainmuodot ja API-käyttötunnukset Alibaba Cloudille, Amazon Web Services (AWS), Azurelle, GitHubille, Google Cloudille, Mailgunille, Slackin, Stripen ja Twiliolle. Jos tunnus tunnistetaan, palveluntarjoajalle lähetetään pyyntö vahvistaa vuoto ja peruuttaa vaarantuneet tunnukset.
Lähde: opennet.ru