GitHub систему для надання фінансової підтримки відкритим проектам. Новий сервіс надає нову форму участі в розвитку проектів — якщо користувач не має можливості допомогти в розробці, то він може підключитися до проектів, що цікавлять, як спонсор і допомагати через фінансування конкретних розробників, мейнтейнерів, дизайнерів, авторів документації, тестувальників та інших залучених до проекту учасників.
За допомогою системи спонсорства будь-який користувач GitHub може щомісяця перераховувати фіксовані суми розробникам відкритого коду. у сервісі як учасники, готові отримувати фінансову підтримку (на час тестування сервісу кількість учасників обмежена). Спонсоровані учасники можуть визначити рівні підтримки та пов'язані з ними привілеї для спонсорів, такі як позачергове усунення помилок. Розглядається можливість організації фінансування як окремих учасників, а й груп розробників, залучених у роботу над проектом.
На відміну від інших майданчиків спільного фінансування, GitHub не бере собі певний відсоток за посередництво, а також перший рік покриватиме витрати на обробку платежів. Надалі не виключається запровадження відрахування за обробку платежів. Для супроводу сервісу створено спеціальний фонд GitHub Sponsors Matching Fund, який займатиметься розподілом фінансових потоків.
Крім спонсорства GitHub також новий сервіс для забезпечення безпеки проектів, побудований на базі технологій, отриманих у результаті компанії Dependabot. Dependabot тепер вбудований у GitHub і доступний безкоштовно.
Сервіс дозволяє відстежувати вразливості у залежностях, відправляти власникам репозиторіїв попередження про наявність проблем залежно та автоматично відкривати pull-запити для виправлення виявлених уразливостей.
Попередження відображаються у вкладці «Security» і включають вичерпні відомості про вразливість та файли проекту, які стосуються проблеми. Виправлення генеруються через оновлення у списку залежностей мінімальної версії на версію, де уразливість усунена. Відомості про вразливість витягуються з баз и , а також на основі повідомлень від мейнтейнерів проектів та автоматичного аналізатора коммітів на GitHub c подальшим підтвердженням у системі ручного рецензування.
Для мейнтейнерів проектів інтерфейс для публікації та розміщення звітів про уразливості (security advisories), а також для приватного обговорення у закритому колі питань, пов'язаних із виправленням уразливостей.
Крім того для захисту від конфіденційних даних у публічно доступні репозиторії введено в дію токенів та ключів доступу. Під час комміту сканер перевіряє типові формати ключів та токени доступу до API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe та Twilio. У разі виявлення токена сервіс-провайдеру надсилається запит для підтвердження витоку та відкликання скомпрометованих токенів.
Джерело: opennet.ru