ProHoster > blog > berita internet > Memperkenalkan donasi - layanan donasi yang dihosting sendiri untuk tugas

Memperkenalkan donasi - layanan donasi yang dihosting sendiri untuk tugas


Memperkenalkan donasi - layanan donasi yang dihosting sendiri untuk tugas

Fitur:

  • CIUMAN;
  • dihosting sendiri;
  • tanpa biaya (misalnya, bountysource dan gitcoin mengambil 10% dari pembayaran);
  • dukungan untuk banyak mata uang kripto (saat ini Bitcoin, Ethereum, dan Cardano);
  • diharapkan (dan disediakan) untuk mendukung GitLab, Gitea, dan layanan hosting Git lainnya di masa depan.

  • daftar global tugas dari semua (yaitu, satu, pada saat penulisan berita) contoh di donasi.dumpstack.io.

Mekanisme kerja GitHub dari sisi pemilik repositori:

  • (opsional) Anda perlu menyebarkan layanan, Anda dapat menggunakan konfigurasi siap pakai untuk NixOS;
  • perlu ditambahkan Tindakan GitHub β€” sebuah utilitas dipanggil di dalam yang memindai tugas-tugas proyek dan menambahkan/memperbarui komentar tentang keadaan dompet donasi saat ini, sedangkan bagian pribadi dari dompet hanya disimpan di server donasi (di masa depan, dengan kemampuan untuk mengambilnya offline untuk sumbangan besar, untuk konfirmasi pembayaran manual);
  • di semua tugas saat ini (dan yang baru) sebuah pesan muncul tindakan github[bot] dengan alamat dompet untuk sumbangan (contoh).

Mekanisme kerja orang yang melaksanakan tugas:

  • komentar pada komit menunjukkan dengan tepat masalah apa yang dipecahkan oleh komit ini (lihat. menutup masalah menggunakan kata kunci);
  • isi permintaan tarik menentukan alamat dompet dalam format tertentu (misalnya, BTC{alamat}).
  • Ketika permintaan penarikan diterima, pembayaran dilakukan secara otomatis.
  • jika dompet tidak ditentukan, atau tidak semuanya ditentukan, maka pembayaran dana untuk dompet yang tidak ditentukan dilakukan ke dompet default (misalnya, ini bisa berupa dompet proyek umum).

Keamanan:

  • permukaan serangan umumnya kecil;
  • Berdasarkan mekanisme operasinya, layanan harus dapat mengirim dana secara mandiri, sehingga mendapatkan akses ke server berarti mengontrol dana dalam hal apa pun - solusinya hanya dapat bekerja dalam mode non-otomatis (misalnya, mengonfirmasi pembayaran secara manual), yang kemungkinan besar (jika proyek cukup berhasil sehingga ada orang yang mau menyumbang untuk fungsi ini, maka kecil kemungkinannya, namun pasti) bahwa proyek tersebut akan dilaksanakan suatu hari nanti;
  • bagian-bagian penting dipisahkan dengan jelas (sebenarnya, ini adalah satu file pay.go yang terdiri dari 200 baris), sehingga menyederhanakan peninjauan kode keamanan;
  • kode tersebut telah lolos tinjauan kode keamanan independen, yang tidak berarti tidak adanya kerentanan, namun mengurangi kemungkinan adanya kerentanan, terutama mengingat keteraturan tinjauan yang direncanakan;
  • ada juga bagian yang tidak dikontrol (misalnya API GitHub/GitLab/dll.), sedangkan kemungkinan kerentanan pada API pihak ketiga rencananya akan ditutup dengan pemeriksaan tambahan, namun secara umum masalah di saat ini ekosistem tidak dapat dipecahkan dan berada di luar cakupan (kemungkinan kerentanan, misalnya, kemampuan untuk menutup pull request orang lain dan dengan demikian menambahkan kode ke proyek orang lain - mempunyai konsekuensi yang jauh lebih global).

Sumber: linux.org.ru

Tambah komentar