GitHub o sistema para proporcionar apoio financeiro a proxectos de código aberto. O novo servizo ofrece unha nova forma de participación no desenvolvemento de proxectos: se o usuario non pode axudar no desenvolvemento, pode conectarse a proxectos de interese como patrocinador e axudar a través do financiamento de desenvolvedores, mantedores, deseñadores e autores de documentación específicos. , probadores e outros participantes implicados no proxecto.
Usando o sistema de patrocinio, calquera usuario de GitHub pode doar cantidades fixas mensualmente a desenvolvedores de código aberto. no servizo como participantes preparados para recibir apoio económico (durante a proba do servizo o número de participantes é limitado). Os membros patrocinados poden definir niveis de soporte e beneficios asociados para os patrocinadores, como correccións de erros prioritarias. Estase considerando a posibilidade de organizar financiamento non só para participantes individuais, senón tamén para grupos de desenvolvedores implicados no traballo no proxecto.
A diferenza doutras plataformas de crowdfunding, GitHub non cobra ningunha taxa pola intermediación e tamén cubrirá os custos de procesamento de pagos durante o primeiro ano. No futuro, é posible introducir unha taxa polo procesamento de pagos. Para apoiar o servizo, creouse un fondo especial, GitHub Sponsors Matching Fund, que distribuirá os fluxos financeiros.
Ademais do patrocinio de GitHub tamén un novo servizo para garantir a seguridade dos proxectos, construído a partir das tecnoloxías obtidas como resultado por Dependabot. Dependabot agora está integrado en GitHub e dispoñible de balde.
O servizo permítelle supervisar as vulnerabilidades nas dependencias, enviar avisos aos propietarios do repositorio sobre problemas de dependencia e abrir automaticamente solicitudes de extracción para corrixir as vulnerabilidades identificadas.
As alertas móstranse na pestana Seguridade e inclúen información completa sobre a vulnerabilidade e os ficheiros do proxecto afectados polo problema. A corrección xérase ao actualizar a lista de dependencias de versións mínimas a unha versión que corrixa a vulnerabilidade. A información sobre vulnerabilidades obtense das bases de datos и , así como en función das notificacións dos mantedores do proxecto e dun analizador automático de commit en GitHub coa confirmación posterior no sistema de revisión manual.
Para mantedores de proxectos unha interface para publicar e publicar informes sobre vulnerabilidades (avisos de seguridade), así como para debates privados nun círculo pechado de cuestións relacionadas coa solución de vulnerabilidades.
Ademais, para protexer contra púxose en funcionamento datos confidenciais en repositorios de acceso público fichas e claves de acceso. Durante un commit, o escáner comproba os formatos de clave comúns e os tokens de acceso á API para Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe e Twilio. Se se identifica un token, envíase unha solicitude ao fornecedor de servizos para confirmar a fuga e revogar os tokens comprometidos.
Fonte: opennet.ru