โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > GitHub เปิดตัวบริการสนับสนุนทางการเงินและการรายงานช่องโหว่

GitHub เปิดตัวบริการสนับสนุนทางการเงินและการรายงานช่องโหว่

GitHub ดำเนินการ ระบบ การสนับสนุน เพื่อให้การสนับสนุนทางการเงินแก่โครงการโอเพ่นซอร์ส บริการใหม่นี้มอบรูปแบบใหม่ของการมีส่วนร่วมในการพัฒนาโครงการ - หากผู้ใช้ไม่สามารถช่วยในการพัฒนาได้ เขาก็สามารถเชื่อมต่อกับโครงการที่น่าสนใจในฐานะผู้สนับสนุนและช่วยเหลือผ่านการให้ทุนสนับสนุนแก่นักพัฒนา ผู้ดูแล นักออกแบบ ผู้เขียนเอกสารโดยเฉพาะ ผู้ทดสอบและผู้เข้าร่วมอื่น ๆ ที่เกี่ยวข้องกับโครงการ

เมื่อใช้ระบบการสนับสนุน ผู้ใช้ GitHub ทุกคนสามารถบริจาคเงินจำนวนคงที่ทุกเดือนให้กับนักพัฒนาโอเพ่นซอร์ส ลงทะเบียนแล้ว ในการให้บริการในฐานะผู้เข้าร่วมพร้อมรับการสนับสนุนทางการเงิน (ระหว่างการทดสอบบริการ จำกัดจำนวนผู้เข้าร่วม) สมาชิกที่ได้รับการสนับสนุนสามารถกำหนดระดับการสนับสนุนและสิทธิประโยชน์ที่เกี่ยวข้องสำหรับผู้สนับสนุน เช่น การแก้ไขข้อบกพร่องในลำดับความสำคัญ กำลังพิจารณาความเป็นไปได้ในการจัดการเงินทุนไม่เพียงแต่สำหรับผู้เข้าร่วมรายบุคคลเท่านั้น แต่ยังรวมถึงกลุ่มนักพัฒนาที่เกี่ยวข้องกับการทำงานในโครงการนี้ด้วย

ต่างจากแพลตฟอร์มการระดมทุนอื่นๆ GitHub ไม่คิดค่าธรรมเนียมสำหรับการเป็นตัวกลาง และจะครอบคลุมค่าใช้จ่ายในการดำเนินการชำระเงินในปีแรกด้วย ในอนาคตอาจมีค่าธรรมเนียมในการดำเนินการชำระเงิน เพื่อสนับสนุนบริการนี้ จึงได้จัดตั้งกองทุนพิเศษ GitHub Sponsors Matching Fund ซึ่งจะกระจายกระแสการเงิน

นอกจากการสนับสนุน GitHub แล้ว ส่ง บริการใหม่เพื่อรับรองความปลอดภัยของโครงการที่สร้างขึ้นบนพื้นฐานของเทคโนโลยีที่ได้รับ เทคโอเวอร์ โดย Dependabot. ขณะนี้ Dependabot ถูกสร้างขึ้นใน GitHub และให้บริการฟรี
บริการนี้ช่วยให้คุณสามารถตรวจสอบช่องโหว่ในการขึ้นต่อกัน ส่งคำเตือนไปยังเจ้าของพื้นที่เก็บข้อมูลเกี่ยวกับปัญหาการขึ้นต่อกัน และเปิดคำขอดึงโดยอัตโนมัติเพื่อแก้ไขช่องโหว่ที่ระบุ

GitHub เปิดตัวบริการสนับสนุนทางการเงินและการรายงานช่องโหว่

การแจ้งเตือนจะแสดงในแท็บความปลอดภัยและรวมข้อมูลที่ครอบคลุมเกี่ยวกับช่องโหว่และไฟล์โครงการที่ได้รับผลกระทบจากปัญหานี้ การแก้ไขนี้สร้างขึ้นโดยการอัปเดตรายการการพึ่งพาเวอร์ชันขั้นต่ำเป็นเวอร์ชันที่แก้ไขช่องโหว่ ข้อมูลเกี่ยวกับช่องโหว่จะถูกดึงมาจากฐานข้อมูล มิเตอร์ ซีวีอี и ไวท์ซอร์สเช่นเดียวกับการแจ้งเตือนจากผู้ดูแลโครงการและตัววิเคราะห์คอมมิตอัตโนมัติบน GitHub พร้อมการยืนยันในภายหลังในระบบการตรวจสอบด้วยตนเอง

สำหรับผู้ดูแลโครงการ รับหน้าที่ อินเทอร์เฟซสำหรับการเผยแพร่และโพสต์รายงานเกี่ยวกับช่องโหว่ (คำแนะนำด้านความปลอดภัย) รวมถึงการสนทนาส่วนตัวในประเด็นที่เกี่ยวข้องกับการแก้ไขช่องโหว่

นอกจากนี้เพื่อเป็นการป้องกัน ฮิต ข้อมูลที่เป็นความลับในที่เก็บข้อมูลสาธารณะที่เข้าถึงได้ได้ถูกนำไปใช้งานแล้ว สแกนเนอร์ โทเค็นและคีย์การเข้าถึง ในระหว่างคอมมิต เครื่องสแกนจะตรวจสอบรูปแบบคีย์ทั่วไปและโทเค็นการเข้าถึง API สำหรับ Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe และ Twilio หากมีการระบุโทเค็น คำขอจะถูกส่งไปยังผู้ให้บริการเพื่อยืนยันการรั่วไหลและเพิกถอนโทเค็นที่ถูกบุกรุก

GitHub เปิดตัวบริการสนับสนุนทางการเงินและการรายงานช่องโหว่

ที่มา: opennet.ru

เพิ่มความคิดเห็น