GitHub a rendszer nyílt forráskódú projektek pénzügyi támogatása. Az új szolgáltatás új részvételi formát biztosít a projektek kidolgozásában - ha a felhasználó nem tud segíteni a fejlesztésben, akkor szponzorként kapcsolódhat az érdeklődésre számot tartó projektekhez, és konkrét fejlesztők, karbantartók, tervezők, dokumentációs szerzők finanszírozásával segíthet. , tesztelők és a projektben részt vevő többi résztvevő.
A szponzorációs rendszer segítségével bármely GitHub-felhasználó havonta fix összegeket adományozhat nyílt forráskódú fejlesztőknek, a szolgáltatásban pénzügyi támogatásra kész résztvevőként (a szolgáltatás tesztelése során a résztvevők száma korlátozott). A szponzorált tagok támogatási szinteket és kapcsolódó előnyöket határozhatnak meg a szponzorok számára, például kiemelt hibajavításokat. Fontolja meg annak lehetőségét, hogy ne csak egyéni résztvevők, hanem a projektben részt vevő fejlesztői csoportok számára is szervezzenek finanszírozást.
Más közösségi finanszírozási platformokkal ellentétben a GitHub nem számít fel díjat a közvetítésért, és az első évben fedezi a fizetési feldolgozás költségeit is. A jövőben lehetőség van a fizetési feldolgozás díjának bevezetésére. A szolgáltatás támogatására egy speciális alapot, a GitHub Sponsors Matching Fundot hoztak létre, amely a pénzügyi áramlásokat osztja szét.
A GitHub szponzoráción kívül is a projektek biztonságát biztosító új szolgáltatás, amely az eredményeként nyert technológiákra épül a Dependabot által. A Dependabot immár be van építve a GitHubba, és ingyenesen elérhető.
A szolgáltatás lehetővé teszi a függőségek sebezhetőségeinek figyelését, figyelmeztetések küldését a lerakattulajdonosoknak a függőségi problémákról, és automatikusan megnyitja a lekérési kérelmeket az azonosított sebezhetőségek javítására.
A riasztások a Biztonság lapon jelennek meg, és átfogó információkat tartalmaznak a biztonsági résről és a probléma által érintett projektfájlokról. A javítás úgy jön létre, hogy a minimális verziófüggőségi listát frissítik egy olyan verzióra, amely javítja a biztonsági rést. A sérülékenységekkel kapcsolatos információk adatbázisokból származnak и , valamint a projektkarbantartók értesítései és a GitHubon található automatikus véglegesítés-elemző alapján, amelyet a kézi felülvizsgálati rendszerben utólag megerősítenek.
Projektfenntartóknak felület a sebezhetőségekről szóló jelentések (biztonsági tanácsok) publikálására és közzétételére, valamint zártkörű, a sérülékenységek javításával kapcsolatos kérdések zártkörű megbeszélésére.
Ezen kívül védekezni ellene A bizalmas adatok nyilvánosan hozzáférhető adattárakba történő átvitelét üzembe helyezték tokenek és hozzáférési kulcsok. A véglegesítés során a szkenner ellenőrzi az Alibaba Cloud, az Amazon Web Services (AWS), az Azure, a GitHub, a Google Cloud, a Mailgun, a Slack, a Stripe és a Twilio általános kulcsformátumait és API-hozzáférési tokenjeit. Ha egy token azonosításra kerül, a rendszer egy kérést küld a szolgáltatónak a szivárgás megerősítésére és a feltört tokenek visszavonására.
Forrás: opennet.ru