产品特点:
- 吻;
- 自托管;
- 无费用(例如,bountysource 和 gitcoin 收取付款的 10%);
- 支持多种加密货币(目前是比特币、以太坊和卡尔达诺);
- 未来预计(并已提供)支持 GitLab、Gitea 和其他 Git 托管服务。
- 来自所有(即撰写新闻时的一个)实例的任务的全局列表 捐赠.dumpstack.io.
从存储库所有者的角度来看 GitHub 的工作机制:
- (可选)需要部署服务,可以使用 NixOS 的现成配置;
- 需要添加 GitHub 行动 — 内部调用一个实用程序,扫描项目的任务并添加/更新有关捐赠钱包当前状态的评论,而钱包的私有部分仅存储在捐赠服务器上(将来可以获取它)大额捐款离线,人工确认付款);
- 在所有当前任务(和新任务)中都会出现一条消息 github-actions[bot] 带有捐款的钱包地址(例子).
执行任务的人的工作机制:
- 对提交的注释准确地表明了该提交解决了什么问题(请参阅。 使用关键字关闭问题);
- 拉取请求的正文以特定格式指定钱包地址(例如, BTC{地址}).
- 当拉取请求被接受时,付款将自动进行。
- 如果未指定或未指定全部钱包,则将未指定钱包的资金支付到默认钱包(例如,这可以是通用项目钱包)。
安全性:
- 攻击面普遍较小;
- 根据运行机制,该服务应该能够独立发送资金,因此获得服务器的访问权限意味着无论如何都可以控制资金 - 解决方案只能以非自动化模式工作(例如,确认手动付款),这很可能(如果该项目足够成功,有人为此功能捐款,那么不太可能,但肯定)有一天它会被实施;
- 关键部分清晰分离(事实上,这是一个 200 行的 pay.go 文件),从而简化了安全代码审查;
- 该代码已通过独立的安全代码审查,这并不意味着不存在漏洞,而是降低了存在漏洞的可能性,特别是考虑到计划的定期审查;
- 还有一些不受控制的部分(例如API GitHub/GitLab/等),而第三方API中可能存在的漏洞计划通过额外的检查来关闭,但总的来说,当前的问题生态系统是无法解决的并且超出了范围(可能存在漏洞,例如,能够关闭其他人的拉取请求,从而向其他人的项目添加代码 - 具有更多的全球后果)。
来源: linux.org.ru