GitHub systeem om financiële steun te verlenen aan open source-projecten. De nieuwe dienst biedt een nieuwe vorm van deelname aan de ontwikkeling van projecten - als de gebruiker niet in staat is om te helpen bij de ontwikkeling, kan hij zich als sponsor aansluiten bij interessante projecten en helpen door specifieke ontwikkelaars, beheerders, ontwerpers en auteurs van documentatie te financieren , testers en andere deelnemers die bij het project betrokken zijn.
Met behulp van het sponsorsysteem kan elke GitHub-gebruiker maandelijks een vast bedrag doneren aan open source-ontwikkelaars, in de dienst als deelnemers klaar om financiële steun te ontvangen (tijdens het testen van de dienst is het aantal deelnemers beperkt). Gesponsorde leden kunnen ondersteuningsniveaus en bijbehorende voordelen voor sponsors definiëren, zoals prioritaire bugfixes. Er wordt overwogen om niet alleen financiering te organiseren voor individuele deelnemers, maar ook voor groepen ontwikkelaars die bij het project betrokken zijn.
In tegenstelling tot andere crowdfundingplatforms brengt GitHub geen kosten in rekening voor bemiddeling en dekt hij ook het eerste jaar de kosten voor betalingsverwerking. In de toekomst is het mogelijk om kosten in te voeren voor de verwerking van betalingen. Om de dienst te ondersteunen is er een speciaal fonds, GitHub Sponsors Matching Fund, opgericht, dat de financiële stromen zal verdelen.
Naast GitHub-sponsoring ook een nieuwe dienst voor het garanderen van de veiligheid van projecten, gebouwd op basis van de hierdoor verkregen technologieën door Dependabot. Dependabot is nu ingebouwd in GitHub en gratis beschikbaar.
Met de service kunt u kwetsbaarheden in afhankelijkheden in de gaten houden, waarschuwingen sturen naar repository-eigenaren over afhankelijkheidsproblemen en automatisch pull-aanvragen openen om geïdentificeerde kwetsbaarheden op te lossen.
Waarschuwingen worden weergegeven op het tabblad Beveiliging en bevatten uitgebreide informatie over het beveiligingslek en de projectbestanden die door het probleem zijn getroffen. De oplossing wordt gegenereerd door de lijst met minimale versie-afhankelijkheid bij te werken naar een versie die de kwetsbaarheid verhelpt. Informatie over kwetsbaarheden wordt uit databases gehaald и , evenals op basis van meldingen van projectbeheerders en een automatische commit-analysator op GitHub met daaropvolgende bevestiging in het handmatige beoordelingssysteem.
Voor projectbeheerders een interface voor het publiceren en plaatsen van rapporten over kwetsbaarheden (beveiligingsadviezen), maar ook voor privédiscussie in een gesloten kring van kwesties die verband houden met het oplossen van kwetsbaarheden.
Bovendien ter bescherming tegen vertrouwelijke gegevens in openbaar toegankelijke opslagplaatsen zijn in gebruik genomen tokens en toegangssleutels. Tijdens een commit controleert de scanner veelgebruikte sleutelformaten en API-toegangstokens voor Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe en Twilio. Als een token wordt geïdentificeerd, wordt er een verzoek naar de serviceprovider gestuurd om het lek te bevestigen en de aangetaste tokens in te trekken.
Bron: opennet.ru