GitHub system w celu zapewnienia wsparcia finansowego projektom open source. Nowa usługa zapewnia nową formę uczestnictwa w rozwoju projektów - jeśli użytkownik nie jest w stanie pomóc w rozwoju, wówczas może połączyć się z interesującymi projektami jako sponsor i pomóc poprzez finansowanie konkretnych programistów, opiekunów, projektantów, autorów dokumentacji , testerów i innych uczestników zaangażowanych w projekt.
Korzystając z systemu sponsoringu, każdy użytkownik GitHuba może co miesiąc przekazywać stałe kwoty deweloperom open source, w serwisie jako uczestnicy gotowi do otrzymania wsparcia finansowego (w okresie testowania usługi liczba uczestników jest ograniczona). Członkowie sponsorowani mogą definiować poziomy wsparcia i powiązane korzyści dla sponsorów, takie jak priorytetowe poprawki błędów. Rozważana jest możliwość zorganizowania finansowania nie tylko dla indywidualnych uczestników, ale także dla grup deweloperów zaangażowanych w pracę nad projektem.
W przeciwieństwie do innych platform crowdfundingowych, GitHub nie pobiera opłaty za pośrednictwo, a przez pierwszy rok pokryje także koszty przetwarzania płatności. W przyszłości możliwe będzie wprowadzenie opłaty za realizację płatności. Aby wesprzeć usługę, utworzono specjalny fundusz GitHub Sponsors Matching Fund, który będzie dystrybuował przepływy finansowe.
Oprócz sponsorowania GitHub również nowa usługa zapewniająca bezpieczeństwo projektów, zbudowana w oparciu o uzyskane w ten sposób technologie przez Depabot. Zależność jest teraz wbudowana w GitHub i dostępna bezpłatnie.
Usługa umożliwia monitorowanie luk w zależnościach, wysyłanie ostrzeżeń do właścicieli repozytoriów o problemach z zależnościami oraz automatyczne otwieranie pull requestów w celu naprawienia zidentyfikowanych luk.
Alerty są wyświetlane na karcie Bezpieczeństwo i zawierają wyczerpujące informacje na temat luki oraz plików projektu, których dotyczy problem. Poprawka jest generowana poprzez aktualizację minimalnej listy zależności wersji do wersji, która naprawia lukę. Informacje o podatnościach pobierane są z baz danych и , a także na podstawie powiadomień od opiekunów projektów oraz automatycznego analizatora zatwierdzeń na GitHubie z późniejszym potwierdzeniem w systemie ręcznej recenzji.
Dla opiekunów projektów interfejs umożliwiający publikowanie i zamieszczanie raportów o podatnościach (poradniki bezpieczeństwa), a także prywatną dyskusję w zamkniętym kręgu zagadnień związanych z naprawą podatności.
Ponadto, aby chronić przed poufne dane do publicznie dostępnych repozytoriów tokeny i klucze dostępu. Podczas zatwierdzania skaner sprawdza popularne formaty kluczy i tokeny dostępu API dla Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe i Twilio. W przypadku zidentyfikowania tokena do usługodawcy wysyłane jest żądanie potwierdzenia wycieku i unieważnienia zhakowanych tokenów.
Źródło: opennet.ru