GitHub sistema zagotoviti finančno podporo odprtokodnim projektom. Nova storitev omogoča novo obliko sodelovanja pri razvoju projektov – če uporabnik ne more pomagati pri razvoju, se lahko kot sponzor poveže z zanimivimi projekti in pomaga s financiranjem določenih razvijalcev, vzdrževalcev, projektantov, avtorjev dokumentacije. , preizkuševalcev in drugih udeležencev, ki sodelujejo pri projektu.
Z uporabo sistema sponzoriranja lahko vsak uporabnik GitHub mesečno donira fiksne zneske odprtokodnim razvijalcem, v storitvi kot udeleženci, pripravljeni na finančno podporo (v času testiranja storitve je število udeležencev omejeno). Sponzorirani člani lahko določijo ravni podpore in povezane ugodnosti za sponzorje, kot so prednostni popravki napak. Preučuje se možnost organiziranja financiranja ne le za posamezne udeležence, temveč tudi za skupine razvijalcev, ki sodelujejo pri delu na projektu.
V nasprotju z drugimi platformami za množično financiranje GitHub ne zaračunava provizije za posredovanje in krije tudi stroške obdelave plačil za prvo leto. V prihodnosti je možno uvesti provizijo za obdelavo plačil. Za podporo storitve je bil ustanovljen poseben sklad GitHub Sponsors Matching Fund, ki bo razdeljeval finančne tokove.
Poleg sponzorstva GitHub tudi nova storitev za zagotavljanje varnosti projektov, zgrajenih na podlagi tako pridobljenih tehnologij avtor Dependabot. Dependabot je zdaj vgrajen v GitHub in je na voljo brezplačno.
Storitev vam omogoča spremljanje ranljivosti v odvisnostih, pošiljanje opozoril lastnikom repozitorija o težavah z odvisnostmi in samodejno odpiranje zahtev za vleko za odpravo ugotovljenih ranljivosti.
Opozorila so prikazana na zavihku Varnost in vključujejo izčrpne informacije o ranljivosti in projektnih datotekah, na katere vpliva težava. Popravek se ustvari s posodobitvijo seznama odvisnosti najmanjše različice na različico, ki odpravlja ranljivost. Informacije o ranljivostih se pridobivajo iz baz podatkov и , kot tudi na podlagi obvestil vzdrževalcev projekta in avtomatskega analizatorja potrditve na GitHubu z naknadno potrditvijo v sistemu za ročni pregled.
Za vzdrževalce projektov vmesnik za objavo in objavo poročil o ranljivostih (security advisories), kot tudi za zasebno razpravo v zaprtem krogu vprašanj, povezanih z odpravljanjem ranljivosti.
Poleg tega za zaščito pred zaupnih podatkov v javno dostopne repozitorije je začela delovati žetoni in dostopni ključi. Med potrditvijo optični bralnik preveri običajne formate ključev in žetone za dostop do API-jev za Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe in Twilio. Če je žeton prepoznan, se ponudniku storitev pošlje zahteva za potrditev uhajanja in preklic ogroženih žetonov.
Vir: opennet.ru