GitHub system å gi økonomisk støtte til åpen kildekode-prosjekter. Den nye tjenesten gir en ny form for deltakelse i utviklingen av prosjekter - hvis brukeren ikke er i stand til å hjelpe til med utviklingen, kan han koble seg til prosjekter av interesse som sponsor og hjelpe gjennom finansiering av spesifikke utviklere, vedlikeholdere, designere, dokumentasjonsforfattere , testere og andre deltakere som er involvert i prosjektet.
Ved å bruke sponsorsystemet kan enhver GitHub-bruker donere faste beløp månedlig til åpen kildekode-utviklere, i tjenesten som deltakere klare til å motta økonomisk støtte (under testing av tjenesten er antall deltakere begrenset). Sponsede medlemmer kan definere støttenivåer og tilhørende fordeler for sponsorer, for eksempel prioriterte feilrettinger. Muligheten for å organisere finansiering ikke bare for individuelle deltakere, men også for grupper av utviklere som er involvert i arbeidet med prosjektet, vurderes.
I motsetning til andre crowdfunding-plattformer, tar ikke GitHub et gebyr for formidling, og vil også dekke betalingsbehandlingskostnader det første året. I fremtiden er det mulig å innføre gebyr for betalingsbehandling. For å støtte tjenesten er det opprettet et spesielt fond, GitHub Sponsors Matching Fund, som skal fordele økonomiske strømmer.
I tillegg til GitHub-sponsing også en ny tjeneste for å sikre sikkerheten til prosjekter, bygget på grunnlag av teknologier oppnådd som et resultat av Dependabot. Dependabot er nå innebygd i GitHub og tilgjengelig gratis.
Tjenesten lar deg overvåke sårbarheter i avhengigheter, sende advarsler til depoteiere om avhengighetsproblemer og automatisk åpne pull-forespørsler for å fikse identifiserte sårbarheter.
Varsler vises i kategorien Sikkerhet og inkluderer omfattende informasjon om sårbarheten og prosjektfilene som er berørt av problemet. Reparasjonen genereres ved å oppdatere minimumsversjonsavhengighetslisten til en versjon som fikser sårbarheten. Informasjon om sårbarheter hentes fra databaser и , samt basert på varsler fra prosjektvedlikeholdere og en automatisk commit-analysator på GitHub med påfølgende bekreftelse i det manuelle gjennomgangssystemet.
For prosjektvedlikeholdere et grensesnitt for å publisere og legge ut rapporter om sårbarheter (sikkerhetsråd), samt for privat diskusjon i en lukket krets av problemstillinger knyttet til utbedring av sårbarheter.
I tillegg for å beskytte mot konfidensielle data i offentlig tilgjengelige depoter er satt i drift tokens og tilgangsnøkler. Under en commit sjekker skanneren vanlige nøkkelformater og API-tilgangstokener for Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe og Twilio. Hvis et token blir identifisert, sendes en forespørsel til tjenesteleverandøren om å bekrefte lekkasjen og tilbakekalle de kompromitterte tokenene.
Kilde: opennet.ru