特點:
- 吻;
- 自託管;
- 無費用(例如,bountysource 和 gitcoin 收取付款的 10%);
- 支援多種加密貨幣(目前是比特幣、以太坊和卡爾達諾);
- 未來預計(並已提供)支援 GitLab、Gitea 和其他 Git 託管服務。
- 來自所有(即撰寫新聞時的一個)實例的任務的全局列表 捐贈.dumpstack.io.
從儲存庫擁有者的角度來看 GitHub 的工作機制:
- (可選)需要部署服務,可以使用 NixOS 的現成配置;
- 需要添加 GitHub 行動 — 內部調用一個實用程序,掃描項目的任務並添加/更新有關捐贈錢包當前狀態的評論,而錢包的私人部分僅存儲在捐贈服務器上(將來可以獲得它)大額捐款離線,人工確認付款);
- 在所有目前任務(和新任務)中都會出現一則訊息 github-actions[機器人] 附有捐款的錢包地址(例子).
執行任務的人的工作機制:
- 對提交的註釋準確地表明了該提交解決了什麼問題(請參閱。 使用關鍵字關閉問題);
- 拉取請求的正文以特定格式指定錢包位址(例如, BTC{地址}).
- 當拉取請求被接受時,付款將自動進行。
- 如果未指定或未指定全部錢包,則將未指定錢包的資金支付到預設錢包(例如,這可以是通用專案錢包)。
安全性:
- 攻擊面普遍較小;
- 根據運行機制,該服務應該能夠獨立發送資金,因此獲得伺服器的存取權限意味著無論如何都可以控制資金 - 解決方案只能以非自動化模式工作(例如,確認手動付款),這很可能(如果該專案足夠成功,有人為此功能捐款,那麼不太可能,但肯定)有一天它會被實施;
- 關鍵部分清晰分離(事實上,這是一個 200 行的 pay.go 文件),從而簡化了安全代碼審查;
- 該程式碼已通過獨立的安全程式碼審查,這並不意味著不存在漏洞,而是降低了存在漏洞的可能性,特別是考慮到計劃的定期審查;
- 還有一些不受控制的部分(例如API GitHub/GitLab/等),而第三方API中可能存在的漏洞計劃透過額外的檢查來關閉,但總的來說,當前的問題生態系統是無法解決的並且超出了範圍(可能存在漏洞,例如,能夠關閉其他人的拉取請求,從而向其他人的專案添加程式碼- 具有更多的全球後果)。
來源: linux.org.ru