GitHub上 系统 为开源项目提供财政支持。 新服务提供了一种参与项目开发的新形式 - 如果用户无法帮助开发,那么他可以作为赞助商连接到感兴趣的项目,并通过资助特定的开发人员、维护人员、设计人员、文档作者来提供帮助、测试人员和参与该项目的其他参与者。
使用赞助系统,任何 GitHub 用户都可以每月向开源开发者捐赠固定金额, 在服务中,参与者准备好接受财务支持(在服务测试期间,参与者数量有限)。 赞助会员可以为赞助商定义支持级别和相关福利,例如优先修复错误。 正在考虑不仅为个人参与者组织资金,而且为参与该项目的开发商团体组织资金的可能性。
与其他众筹平台不同,GitHub 不收取中介费用,并且还将承担第一年的付款处理费用。 未来,可能会收取支付处理费用。 为了支持这项服务,我们创建了一个特殊基金,即 GitHub 赞助商匹配基金,该基金将分配资金流。
除了 GitHub 的赞助还有 一项确保项目安全的新服务,建立在由此获得的技术的基础上 由 Dependabot 提供。 Dependabot 现已内置于 GitHub 中并免费提供。
该服务允许您监控依赖项中的漏洞,向存储库所有者发送有关依赖项问题的警告,并自动打开拉取请求以修复已识别的漏洞。
警报显示在“安全”选项卡中,包括有关漏洞和受问题影响的项目文件的全面信息。 通过将最小版本依赖列表更新为修复漏洞的版本来生成修复程序。 从数据库中检索有关漏洞的信息 и ,以及基于项目维护人员的通知和 GitHub 上的自动提交分析器,并在手动审核系统中进行后续确认。
对于项目维护者 用于发布和发布漏洞报告(安全建议)的界面,以及用于在与修复漏洞相关的问题的封闭圈子中进行私下讨论的界面。
此外,为了防止 机密数据存入可公开访问的存储库已投入运行 令牌和访问密钥。 在提交期间,扫描器会检查阿里云、Amazon Web Services (AWS)、Azure、GitHub、Google Cloud、Mailgun、Slack、Stripe 和 Twilio 的常见密钥格式和 API 访问令牌。 如果识别出令牌,则会向服务提供商发送请求以确认泄漏并撤销受损的令牌。
来源: opennet.ru