GitHubの システム オープンソース プロジェクトに財政的支援を提供する。 新しいサービスは、プロジェクト開発への新しい参加形式を提供します。ユーザーが開発を手伝うことができない場合、スポンサーとして興味のあるプロジェクトに接続し、特定の開発者、メンテナ、デザイナー、ドキュメント作成者に資金を提供することで支援することができます。 、テスター、およびプロジェクトに関与するその他の参加者。
スポンサーシップ システムを使用すると、GitHub ユーザーは誰でも毎月定額をオープンソース開発者に寄付できます。 経済的サポートを受ける準備ができている参加者としてサービスに参加します (サービスのテスト中は参加者の数が制限されます)。 スポンサー メンバーは、サポート レベルと、優先的なバグ修正などのスポンサー向けの関連特典を定義できます。 個人の参加者だけでなく、プロジェクトに携わる開発者のグループに対しても資金を組織する可能性が検討されています。
他のクラウドファンディングプラットフォームとは異なり、GitHubは仲介手数料を請求せず、初年度の支払い処理コストも負担します。 将来的には、支払い処理に手数料を導入する可能性があります。 このサービスをサポートするために、資金の流れを分配する特別な基金「GitHub Sponsors Matching Fund」が設立されました。
GitHub のスポンサーシップに加えて、 その成果として得られた技術をベースに構築された、プロジェクトのセキュリティを確保するための新たなサービス ディペンダボットによる。 現在、Dependabot は GitHub に組み込まれており、無料で利用できます。
このサービスを使用すると、依存関係の脆弱性を監視し、依存関係の問題についてリポジトリ所有者に警告を送信し、特定された脆弱性を修正するためにプル リクエストを自動的にオープンすることができます。
アラートは [セキュリティ] タブに表示され、脆弱性と問題の影響を受けるプロジェクト ファイルに関する包括的な情報が含まれます。 修正は、最小バージョンの依存関係リストを脆弱性を修正するバージョンに更新することで生成されます。 脆弱性に関する情報はデータベースから取得されます и また、プロジェクトのメンテナからの通知と、GitHub 上の自動コミット アナライザーと、その後の手動レビュー システムでの確認に基づいています。
プロジェクト管理者向け 脆弱性に関するレポート (セキュリティ勧告) を発行および投稿するためのインターフェイス、および脆弱性の修正に関連する問題のクローズド サークルでのプライベートなディスカッションのためのインターフェイス。
さらに、以下のことから保護するために、 機密データを公的にアクセス可能なリポジトリに保存する運用が開始されました トークンとアクセスキー。 コミット中に、スキャナーは Alibaba Cloud、アマゾン ウェブ サービス (AWS)、Azure、GitHub、Google Cloud、Mailgun、Slack、Stripe、Twilio の共通キー形式と API アクセス トークンをチェックします。 トークンが特定された場合、サービスプロバイダーにリクエストが送信され、漏洩を確認し、侵害されたトークンを取り消します。
出所: オープンネット.ru