GitHub systému poskytnúť finančnú podporu open source projektom. Nová služba poskytuje novú formu participácie na vývoji projektov – ak používateľ nevie pomôcť pri vývoji, potom sa môže na projekty, ktoré ho zaujímajú, pripojiť ako sponzor a pomôcť prostredníctvom financovania konkrétnych vývojárov, správcov, dizajnérov, autorov dokumentácie , testeri a ďalší účastníci zapojení do projektu.
Pomocou sponzorského systému môže každý používateľ GitHub darovať fixné sumy mesačne vývojárom open source, v službe ako účastníci pripravení získať finančnú podporu (počas testovania služby je počet účastníkov obmedzený). Sponzorovaní členovia môžu definovať úrovne podpory a súvisiace výhody pre sponzorov, ako sú prioritné opravy chýb. Uvažuje sa o možnosti organizácie financovania nielen pre jednotlivých účastníkov, ale aj pre skupiny vývojárov zapojených do práce na projekte.
Na rozdiel od iných crowdfundingových platforiem si GitHub neúčtuje poplatok za sprostredkovanie a prvý rok pokryje aj náklady na spracovanie platieb. V budúcnosti je možné zaviesť poplatok za spracovanie platby. Na podporu služby bol vytvorený špeciálny fond GitHub Sponsors Matching Fund, ktorý bude rozdeľovať finančné toky.
Okrem sponzorstva GitHub tiež nová služba na zaistenie bezpečnosti projektov postavená na technológiách získaných ako výsledok od Dependabot. Dependabot je teraz zabudovaný do GitHub a je k dispozícii zadarmo.
Služba vám umožňuje monitorovať zraniteľné miesta v závislostiach, odosielať upozornenia vlastníkom úložiska na problémy so závislosťami a automaticky otvárať požiadavky na stiahnutie na opravu identifikovaných zraniteľností.
Upozornenia sa zobrazujú na karte Zabezpečenie a obsahujú komplexné informácie o zraniteľnosti a súboroch projektu, ktorých sa problém týka. Oprava sa generuje aktualizáciou zoznamu závislostí minimálnej verzie na verziu, ktorá opravuje chybu zabezpečenia. Informácie o zraniteľnostiach sa získavajú z databáz и , ako aj na základe upozornení správcov projektu a automatického analyzátora odovzdania na GitHub s následným potvrdením v systéme manuálnej kontroly.
Pre správcov projektu rozhranie na zverejňovanie a uverejňovanie správ o zraniteľnostiach (bezpečnostné upozornenia), ako aj na súkromnú diskusiu v uzavretom kruhu problémov súvisiacich s opravou zraniteľností.
Okrem toho na ochranu pred dôverných údajov do verejne prístupných úložísk tokeny a prístupové kľúče. Počas potvrdenia skener kontroluje bežné formáty kľúčov a prístupové tokeny API pre Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe a Twilio. Ak sa identifikuje token, poskytovateľovi služby sa odošle požiadavka na potvrdenie úniku a odvolanie napadnutých tokenov.
Zdroj: opennet.ru