GitHub реализовал (https://github.blog/2019-05-23-announcing-github-sponsors-a-.../) систему спонсорства (https://github.com/sponsors) для оказания финансовой поддержки открытым проектам. Новый сервис предоставляет новую форму участия в развитии проектов - если пользователь не имеет возможности помочь в разработке, то он может подключиться к интересующим проектам как спонсор и помогать через финансирование конкретных разработчиков, мэйнтейнеров, дизайнеров, авторов документации, тестировщиков и других вовлечённых в проект участников.
При помощи системы спонсорства любой пользователь GitHub может ежемесячно перечислять фиксированные суммы разработчикам отрытого кода, зарегистрировавшимся (https://github.com/users/opennet/sponsors/waitlist) в сервисе в качестве участников, готовых получать финансовую поддержку (на время тестирования сервиса число участников ограничено). Спонсируемые участники могут определять уровни поддержки и связанные с ними привилегии для спонсоров, такие как внеочередное устранение ошибок. Рассматривается возможность организации финансирования не только отдельных участников, но и групп разработчиков, вовлечённых в работу над проектом.
В отличие от других площадок совместного финансирования GitHub не берёт себе определённый процент за посредничество, а также первый год будет покрывать расходы на обработку платежей. В дальнейшем не исключается введение отчисления за обработку платежей. Для сопровождения сервиса создан специальный фонд GitHub Sponsors Matching Fund, который будет заниматься распределением финансовых потоков.
Кроме спонсорства GitHub также представил (https://github.blog/2019-05-23-introducing-new-ways-to-keep-.../) новый сервис для обеспечения безопасности проектов, построенный на базе технологий, полученных в результате поглощения (https://dependabot.com/blog/hello-github/) компании Dependabot. Dependabot теперь встроен в GitHub и доступен бесплатно.
Сервис позволяет отслеживать уязвимости в зависимостях, отправлять владельцам репозиториев предупреждения о наличии проблем в зависимости и автоматически открывать pull-запросы для исправления выявленных уязвимостей.
Предупреждения отображаюбтся во вкладке "Security" и включают исчерпывающие сведения об уязвимости и файлах проекта, которые затрагивает проблема. Исправление генерируются через обновление в списке зависимостей минимальной версии на версию, в которой уязвимость устранена. Сведения об уязвимостях извлекаются из баз MITRE CVE и WhiteSource (https://www.whitesourcesoftware.com/GitHubSecurityAlerts), а также на основе уведомлений от мэйнтейнеров проектов и автоматического анализатора коммитов на GitHub c последующим подтверждением в системе ручного рецензирования.
Для мэйнтейнеров проектов введён в строй (https://help.github.com/en/articles/about-maintainer-securit...) интерфейс для публикации и размещения отчётов об уязвимостях (security advisories), а также для приватного обсуждения в закрытом кругу вопросов, связанных с исправлением уязвимостей.
Кроме того для защиты от попадания (https://www.opennet.ru/opennews/art.shtml?num=50374) конфиденциальных данных в публично доступные репозитории введён в строй сканер (https://developer.github.com/partnerships/token-scanning/) токенов и ключей доступа. Во время коммита сканер проверяет типовые форматы ключей и токены доступа к API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio. В случае выявления токена сервис-провайдеру направляется запрос для подтверждения утечки и отзыва скомпрометированных токенов.
URL: https://github.blog/2019-05-23-building-an-interconnected-co.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50728