Features:
- PUTHJE;
- vetë-strehuar;
- pa tarifa (për shembull, bountysource dhe gitcoin marrin 10% të pagesës);
- mbështetje për shumë kriptovaluta (aktualisht Bitcoin, Ethereum dhe Cardano);
- pritet (dhe ofrohet) të mbështesë GitLab, Gitea dhe shërbime të tjera të pritjes Git në të ardhmen.
- Lista globale e detyrave nga të gjitha (d.m.th., një, në kohën e shkrimit të lajmit) rastet në donate.dumpstack.io.
Mekanizmi i punës për GitHub nga ana e pronarit të depove:
- (opsionale) ju duhet të vendosni shërbimin, mund ta përdorni konfigurim i gatshëm për NixOS;
- duhet shtuar Veprimi GitHub — thirret brenda një programi që skanon detyrat e projektit dhe shton/përditëson një koment për gjendjen aktuale të kuletave të dhurimeve, ndërsa pjesa private e kuletave ruhet vetëm në serverin e dhurimeve (në të ardhmen, me aftësinë për ta marrë atë offline për donacione të mëdha, për konfirmim manual të pagesës);
- në të gjitha detyrat aktuale (dhe ato të reja) shfaqet një mesazh nga github-actions[bot] me adresat e portofolit për donacione (shembull).
Mekanizmi i punës nga ana e personit që kryen detyrën:
- komenti për kryerjen tregon saktësisht se çfarë problemi zgjidh ky kryerje (shih. mbyllja e çështjeve duke përdorur fjalë kyçe);
- trupi i kërkesës për tërheqje specifikon adresat e portofolit në një format specifik (për shembull, BTC{adresa}).
- Kur një kërkesë për tërheqje pranohet, pagesa bëhet automatikisht.
- nëse kuletat nuk janë të specifikuara, ose jo të gjitha janë të specifikuara, atëherë pagesa e fondeve për kuletat e papërcaktuara bëhet në kuletat e paracaktuara (për shembull, kjo mund të jetë një portofol i përgjithshëm i projektit).
Sigurimit:
- sipërfaqja e sulmit është përgjithësisht e vogël;
- Bazuar në mekanizmat e funksionimit, shërbimi duhet të jetë në gjendje të dërgojë fonde në mënyrë të pavarur, kështu që marrja e aksesit në server do të nënkuptojë kontroll mbi fondet në çdo rast - zgjidhja mund të jetë vetëm puna në një mënyrë jo të automatizuar (për shembull, konfirmimi pagesa me dorë), gjë që ka të ngjarë (nëse projekti është mjaft i suksesshëm që dikush të dhurojë për këtë funksionalitet, atëherë nuk ka gjasa, por patjetër) që ai të zbatohet një ditë;
- pjesët kritike janë të ndara qartë (në fakt, ky është një skedar i vetëm pay.go me 200 rreshta), duke thjeshtuar kështu rishikimin e kodit të sigurisë;
- kodi ka kaluar një rishikim të pavarur të kodit të sigurisë, që nuk nënkupton mungesën e dobësive, por zvogëlon gjasat e pranisë së tyre, veçanërisht në dritën e rregullsisë së planifikuar të rishikimeve;
- ka edhe nga ato pjesë që nuk kontrollohen (për shembull, API GitHub/GitLab/etj.), ndërsa dobësitë e mundshme në API-në e palës së tretë janë planifikuar të mbyllen me kontrolle shtesë, megjithatë, në përgjithësi, problemi aktual ekosistemi është i pazgjidhshëm dhe jashtë fushëveprimit (vulnerabiliteti i mundshëm me, për shembull, aftësinë për të mbyllur kërkesat për tërheqje të njerëzve të tjerë dhe për të shtuar kodin në projektet e njerëzve të tjerë - ka pasoja shumë më globale).
Burimi: linux.org.ru