特徴:
- キス;
- セルフホスト型;
- 手数料はかかりません(たとえば、bountysource と gitcoin は支払額の 10% を受け取ります)。
- 複数の暗号通貨(現在はビットコイン、イーサリアム、カルダノ)のサポート。
- 将来的には、GitLab、Gitea、その他の Git ホスティング サービスのサポートが予定されており、提供される予定です。
- すべてのインスタンス(ニュース執筆時点では1つ)のタスクのグローバルリスト 寄付する.
リポジトリ所有者側から見た GitHub の動作メカニズム:
- (オプション)サービスを展開する必要がある場合は、 NixOS の既成構成;
- 追加する必要がある GitHub アクション — プロジェクト タスクをスキャンし、寄付用のウォレットの現在の状態に関するコメントを追加/更新するユーティリティが内部で呼び出されますが、ウォレットのプライベート部分は寄付サーバー上にのみ保存されます (将来的には、大規模な寄付の場合はオフラインに移動し、支払いを手動で確認できるようになります)。
- すべての現在のタスク(および新しいタスク)に、 github-actions[ボット] 寄付用のウォレットアドレス付き(例).
タスクを実行する側から見た作業の仕組み:
- コミットコメントは、コミットが解決する具体的な問題を指定します( キーワードを使用して問題を解決する);
- プルリクエストの本文では、ウォレットアドレスを特定の形式で指定します(例: BTC{アドレス}).
- プルリクエストが承認されると、支払いが自動的に行われます。
- ウォレットが指定されていない場合、またはすべてのウォレットが指定されていない場合、指定されていないウォレットの資金の支払いはデフォルトのウォレット(たとえば、プロジェクトの一般的なウォレット)に対して行われます。
安全性:
- 攻撃対象領域は一般的に小さいです。
- 動作メカニズムに基づいて、サービスは独立して資金を送信できるはずなので、サーバーにアクセスすると、いずれにせよ資金を制御できるようになります。唯一の解決策は、非自動化モード(たとえば、支払いを手動で確認する)で作業することです。これはおそらく(プロジェクトが成功して誰かがこの機能に寄付するほどであれば、おそらくではないかもしれませんが、間違いなく)いつか実装されるでしょう。
- 重要な部分が明確に分離されているため(基本的には 200 行の pay.go ファイル XNUMX つ)、セキュリティ コードのレビューが簡素化されます。
- コードは独立したセキュリティ コード レビューを受けており、これは脆弱性が存在しないことを意味するものではありませんが、特にレビューの計画された定期性を考慮すると、脆弱性が存在する可能性は低くなります。
- 管理されていない部分もあります (たとえば、GitHub/GitLab などの API)。サードパーティ API の潜在的な脆弱性は追加のチェックで閉じられる予定ですが、一般的に、現在のエコシステムの問題は解決できず、範囲外です (たとえば、他の人のプルリクエストを閉じて他の人のプロジェクトにコードを追加する機能に関する潜在的な脆弱性は、はるかにグローバルな影響を及ぼします)。
出所: linux.org.ru
