GitHub sistem untuk memberikan dukungan finansial pada proyek open source. Layanan baru ini menyediakan bentuk partisipasi baru dalam pengembangan proyek - jika pengguna tidak dapat membantu dalam pengembangan, maka ia dapat terhubung ke proyek yang diminati sebagai sponsor dan membantu melalui pendanaan pengembang, pengelola, perancang, penulis dokumentasi tertentu , penguji dan peserta lain yang terlibat dalam proyek.
Dengan menggunakan sistem sponsorship, setiap pengguna GitHub dapat menyumbangkan jumlah tetap setiap bulannya kepada pengembang sumber terbuka, dalam pelayanan sebagai peserta yang siap menerima dukungan finansial (selama pengujian layanan jumlah peserta dibatasi). Anggota yang disponsori dapat menentukan tingkat dukungan dan manfaat terkait untuk sponsor, seperti prioritas perbaikan bug. Kemungkinan pengorganisasian pendanaan tidak hanya untuk peserta individu, tetapi juga untuk kelompok pengembang yang terlibat dalam pengerjaan proyek sedang dipertimbangkan.
Tidak seperti platform crowdfunding lainnya, GitHub tidak memungut biaya perantara, dan juga akan menanggung biaya pemrosesan pembayaran untuk tahun pertama. Di masa depan, dimungkinkan untuk mengenakan biaya untuk pemrosesan pembayaran. Untuk mendukung layanan ini, dana khusus, GitHub Sponsors Matching Fund, telah dibentuk, yang akan mendistribusikan aliran keuangan.
Selain sponsor GitHub juga layanan baru untuk memastikan keamanan proyek, dibangun berdasarkan teknologi yang diperoleh sebagai hasilnya oleh Dependabot. Dependabot sekarang sudah terpasang di GitHub dan tersedia secara gratis.
Layanan ini memungkinkan Anda memantau kerentanan dalam dependensi, mengirimkan peringatan kepada pemilik repositori tentang masalah ketergantungan, dan secara otomatis membuka permintaan penarikan untuk memperbaiki kerentanan yang teridentifikasi.
Peringatan ditampilkan di tab Keamanan dan mencakup informasi komprehensif tentang kerentanan dan file proyek yang terpengaruh oleh masalah tersebut. Perbaikan dilakukan dengan memperbarui daftar ketergantungan versi minimum ke versi yang memperbaiki kerentanan. Informasi tentang kerentanan diambil dari database ΠΈ , serta berdasarkan pemberitahuan dari pengelola proyek dan penganalisis komit otomatis di GitHub dengan konfirmasi selanjutnya dalam sistem tinjauan manual.
Untuk pengelola proyek antarmuka untuk menerbitkan dan memposting laporan kerentanan (nasihat keamanan), serta untuk diskusi pribadi dalam lingkaran tertutup tentang masalah yang berkaitan dengan perbaikan kerentanan.
Selain itu, untuk melindungi data rahasia ke dalam repositori yang dapat diakses publik telah dioperasikan token dan kunci akses. Selama penerapan, pemindai memeriksa format kunci umum dan token akses API untuk Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe, dan Twilio. Jika token teridentifikasi, permintaan dikirim ke penyedia layanan untuk mengonfirmasi kebocoran dan mencabut token yang disusupi.
Sumber: opennet.ru