GitHub sistem pentru a oferi sprijin financiar proiectelor open source. Noul serviciu oferă o nouă formă de participare la dezvoltarea proiectelor - dacă utilizatorul nu este capabil să ajute la dezvoltare, atunci el se poate conecta la proiecte de interes în calitate de sponsor și poate ajuta prin finanțare specifici dezvoltatori, menținători, designeri, autori de documentație. , testeri și alți participanți implicați în proiect.
Folosind sistemul de sponsorizare, orice utilizator GitHub poate dona sume fixe lunar dezvoltatorilor open source, în serviciu ca participanți gata să primească sprijin financiar (în timpul testării serviciului, numărul de participanți este limitat). Membrii sponsorizați pot defini niveluri de suport și beneficii asociate pentru sponsori, cum ar fi remedierea erorilor prioritare. Se are în vedere posibilitatea de a organiza finanțare nu numai pentru participanții individuali, ci și pentru grupuri de dezvoltatori implicați în lucrul la proiect.
Spre deosebire de alte platforme de crowdfunding, GitHub nu percepe o taxă pentru intermediere și va acoperi, de asemenea, costurile de procesare a plăților pentru primul an. În viitor, este posibilă introducerea unei taxe pentru procesarea plăților. Pentru a susține serviciul, a fost creat un fond special, GitHub Sponsors Matching Fund, care va distribui fluxurile financiare.
Pe lângă sponsorizarea GitHub, de asemenea un nou serviciu de asigurare a securității proiectelor, construit pe baza tehnologiilor obținute ca urmare de Dependabot. Dependabot este acum încorporat în GitHub și disponibil gratuit.
Serviciul vă permite să monitorizați vulnerabilitățile din dependențe, să trimiteți avertismente proprietarilor de depozite despre problemele de dependență și să deschideți automat cererile de extragere pentru a remedia vulnerabilitățile identificate.
Alertele sunt afișate în fila Securitate și includ informații complete despre vulnerabilitate și fișierele de proiect afectate de problemă. Remedierea este generată prin actualizarea listei de dependențe de versiuni minime la o versiune care remediază vulnerabilitatea. Informațiile despre vulnerabilități sunt preluate din bazele de date и , precum și pe baza notificărilor de la întreținerii de proiect și a unui analizor de comitere automat pe GitHub cu confirmare ulterioară în sistemul de revizuire manuală.
Pentru menținătorii de proiecte o interfață pentru publicarea și postarea rapoartelor despre vulnerabilități (aviz de securitate), precum și pentru discuții private într-un cerc închis de probleme legate de remedierea vulnerabilităților.
În plus, pentru a proteja împotriva date confidențiale în arhivele accesibile publicului au fost puse în funcțiune jetoane și chei de acces. În timpul unei comiteri, scanerul verifică formatele comune de cheie și jetoanele de acces API pentru Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe și Twilio. Dacă un token este identificat, o solicitare este trimisă furnizorului de servicii pentru a confirma scurgerea și a revoca token-urile compromise.
Sursa: opennet.ru