GitHub système pour apporter un soutien financier aux projets open source. Le nouveau service offre une nouvelle forme de participation au développement de projets - si l'utilisateur n'est pas en mesure d'aider au développement, il peut alors se connecter à des projets d'intérêt en tant que sponsor et aider en finançant des développeurs, des responsables, des concepteurs et des auteurs de documentation spécifiques. , testeurs et autres participants impliqués dans le projet.
Grâce au système de parrainage, tout utilisateur de GitHub peut faire don de montants fixes chaque mois aux développeurs open source, dans le service en tant que participants prêts à recevoir un soutien financier (lors du test du service, le nombre de participants est limité). Les membres sponsorisés peuvent définir des niveaux de support et des avantages associés pour les sponsors, tels que des corrections de bugs prioritaires. La possibilité d'organiser un financement non seulement pour les participants individuels, mais également pour les groupes de développeurs impliqués dans les travaux sur le projet est à l'étude.
Contrairement à d’autres plateformes de financement participatif, GitHub ne facture pas de frais d’intermédiation et couvrira également les frais de traitement des paiements pendant la première année. À l’avenir, il sera possible d’introduire des frais pour le traitement des paiements. Pour soutenir le service, un fonds spécial, GitHub Sponsors Matching Fund, a été créé, qui distribuera les flux financiers.
En plus du parrainage GitHub également un nouveau service pour assurer la sécurité des projets, construit sur la base des technologies obtenues ainsi par Dépendabot. Dependabot est désormais intégré à GitHub et disponible gratuitement.
Le service vous permet de surveiller les vulnérabilités dans les dépendances, d'envoyer des avertissements aux propriétaires de référentiel concernant les problèmes de dépendance et d'ouvrir automatiquement les demandes d'extraction pour corriger les vulnérabilités identifiées.
Les alertes sont affichées dans l'onglet Sécurité et incluent des informations complètes sur la vulnérabilité et les fichiers de projet affectés par le problème. Le correctif est généré en mettant à jour la liste de dépendances de version minimale vers une version qui corrige la vulnérabilité. Les informations sur les vulnérabilités sont récupérées à partir des bases de données и , ainsi que sur la base des notifications des responsables du projet et d'un analyseur de validation automatique sur GitHub avec confirmation ultérieure dans le système de révision manuelle.
Pour les responsables du projet une interface pour publier et publier des rapports sur les vulnérabilités (avis de sécurité), ainsi que pour discuter en privé dans un cercle fermé de problèmes liés à la correction des vulnérabilités.
De plus, pour se protéger contre les données confidentielles dans des référentiels accessibles au public ont été mises en service jetons et clés d’accès. Lors d'une validation, le scanner vérifie les formats de clé courants et les jetons d'accès API pour Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe et Twilio. Si un jeton est identifié, une demande est envoyée au fournisseur de services pour confirmer la fuite et révoquer les jetons compromis.
Source: opennet.ru