GitHub sistēma sniegt finansiālu atbalstu atvērtā pirmkoda projektiem. Jaunais pakalpojums nodrošina jaunu līdzdalības formu projektu izstrādē – ja lietotājs nevar palīdzēt izstrādē, tad viņš var pieslēgties interesējošajiem projektiem kā sponsors un palīdzēt, finansējot konkrētus izstrādātājus, uzturētājus, projektētājus, dokumentācijas autorus. , testētājiem un citiem projektā iesaistītajiem dalībniekiem.
Izmantojot sponsorēšanas sistēmu, ikviens GitHub lietotājs var katru mēnesi ziedot fiksētas summas atvērtā pirmkoda izstrādātājiem, dienestā kā dalībnieki gatavi saņemt finansiālu atbalstu (pakalpojuma testēšanas laikā dalībnieku skaits ir ierobežots). Sponsorētie dalībnieki var definēt atbalsta līmeņus un ar tiem saistītās priekšrocības sponsoriem, piemēram, prioritāros kļūdu labojumus. Tiek apsvērta iespēja organizēt finansējumu ne tikai atsevišķiem dalībniekiem, bet arī izstrādātāju grupām, kas iesaistītas darbā pie projekta.
Atšķirībā no citām kolektīvās finansēšanas platformām, GitHub neiekasē maksu par starpniecību, kā arī segs maksājumu apstrādes izmaksas pirmajā gadā. Nākotnē ir iespējams ieviest maksu par maksājumu apstrādi. Pakalpojuma atbalstam ir izveidots īpašs fonds GitHub Sponsors Matching Fund, kas sadalīs finanšu plūsmas.
Papildus GitHub sponsorēšanai arī jauns serviss projektu drošības nodrošināšanai, kas veidots uz tā rezultātā iegūto tehnoloģiju bāzes autors Dependabot. Dependabot tagad ir iebūvēts GitHub un pieejams bez maksas.
Pakalpojums ļauj pārraudzīt atkarību ievainojamības, sūtīt brīdinājumus repozitoriju īpašniekiem par atkarības problēmām un automātiski atvērt izvilkšanas pieprasījumus, lai novērstu identificētās ievainojamības.
Brīdinājumi tiek parādīti cilnē Drošība, un tajos ir ietverta visaptveroša informācija par ievainojamību un projekta failiem, kurus ietekmē problēma. Labojums tiek ģenerēts, atjauninot minimālo versiju atkarības sarakstu uz versiju, kas novērš ievainojamību. Informācija par ievainojamībām tiek iegūta no datu bāzēm и , kā arī pamatojoties uz paziņojumu no projektu uzturētājiem un automātisko saistību analizatoru GitHub ar sekojošu apstiprinājumu manuālajā pārskatīšanas sistēmā.
Projektu uzturētājiem saskarne ziņojumu par ievainojamībām publicēšanai un ievietošanai (drošības ieteikumi), kā arī privātai diskusijai slēgtā ar ievainojamību novēršanu saistīto jautājumu lokā.
Turklāt, lai aizsargātu pret konfidenciālu datu ievietošana publiski pieejamos repozitorijos ir nodota ekspluatācijā žetonus un piekļuves atslēgas. Apņemšanās laikā skeneris pārbauda izplatītākos atslēgu formātus un API piekļuves pilnvaras Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe un Twilio. Ja tiek identificēts marķieris, pakalpojuma sniedzējam tiek nosūtīts pieprasījums apstiprināt noplūdi un atsaukt apdraudētos marķierus.
Avots: opennet.ru