GitHub sustav za pružanje financijske potpore projektima otvorenog koda. Nova usluga omogućuje novi oblik sudjelovanja u razvoju projekata – ukoliko korisnik nije u mogućnosti pomoći u razvoju, tada se može kao sponzor povezati s projektima od interesa i pomoći kroz financiranje određenih programera, održavatelja, projektanata, autora dokumentacije. , testeri i ostali sudionici uključeni u projekt.
Koristeći sustav sponzoriranja, svaki GitHub korisnik može mjesečno donirati fiksne iznose programerima otvorenog koda, u usluzi kao sudionici spremni za primanje financijske potpore (tijekom testiranja usluge broj sudionika je ograničen). Sponzorirani članovi mogu definirati razine podrške i povezane pogodnosti za sponzore, kao što su prioritetni ispravci grešaka. Razmatra se mogućnost organiziranja financiranja ne samo za pojedinačne sudionike, već i za skupine programera uključenih u rad na projektu.
Za razliku od drugih platformi za grupno financiranje, GitHub ne naplaćuje naknadu za posredovanje, a pokriva i troškove obrade plaćanja tijekom prve godine. U budućnosti je moguće uvesti naknadu za obradu plaćanja. Za podršku servisu stvoren je poseban fond, GitHub Sponsors Matching Fund, koji će distribuirati financijske tokove.
Osim GitHub sponzorstva također nova usluga za osiguranje sigurnosti projekata, izgrađena na temelju tehnologija dobivenih kao rezultat od strane Dependabota. Dependabot je sada ugrađen u GitHub i dostupan je besplatno.
Usluga vam omogućuje praćenje ranjivosti u ovisnostima, slanje upozorenja vlasnicima repozitorija o problemima ovisnosti i automatsko otvaranje zahtjeva za povlačenjem kako bi se popravile identificirane ranjivosti.
Upozorenja se prikazuju na kartici Sigurnost i uključuju sveobuhvatne informacije o ranjivosti i projektnim datotekama na koje problem utječe. Popravak se generira ažuriranjem popisa ovisnosti o minimalnoj verziji na verziju koja popravlja ranjivost. Informacije o ranjivostima preuzimaju se iz baza podataka и , kao i na temelju obavijesti od održavatelja projekta i automatskog analizatora predaje na GitHubu uz naknadnu potvrdu u sustavu ručnog pregleda.
Za voditelje projekta sučelje za objavljivanje i objavljivanje izvješća o ranjivostima (sigurnosna savjetovanja), kao i za privatnu raspravu u zatvorenom krugu problema vezanih uz otklanjanje ranjivosti.
Osim toga, za zaštitu od povjerljivih podataka u javno dostupne repozitorije puštena je u rad tokene i pristupne ključeve. Tijekom predaje, skener provjerava uobičajene formate ključeva i API pristupne tokene za Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe i Twilio. Ako je token identificiran, zahtjev se šalje davatelju usluge da potvrdi curenje i opozove ugrožene tokene.
Izvor: opennet.ru