GitHub запустил сервисы финансовой поддержки и информирования об уязвимостях

23 мая 2019 года

GitHub реализовал систему спонсорства для оказания финансовой поддержки открытым проектам. Новый сервис предоставляет новую форму участия в развитии проектов - если пользователь не имеет возможности помочь в разработке, то он может подключиться к интересующим проектам как спонсор и помогать через финансирование конкретных разработчиков, мэйнтейнеров, дизайнеров, авторов документации, тестировщиков и других вовлечённых в проект участников.

При помощи системы спонсорства любой пользователь GitHub может ежемесячно перечислять фиксированные суммы разработчикам открытого кода, зарегистрировавшимся в сервисе в качестве участников, готовых получать финансовую поддержку (на время тестирования сервиса число участников ограничено). Спонсируемые участники могут определять уровни поддержки и связанные с ними привилегии для спонсоров, такие как внеочередное устранение ошибок. Рассматривается возможность организации финансирования не только отдельных участников, но и групп разработчиков, вовлечённых в работу над проектом.

В отличие от других площадок совместного финансирования GitHub не берёт себе определённый процент за посредничество, а также первый год будет покрывать расходы на обработку платежей. В дальнейшем не исключается введение отчисления за обработку платежей. Для сопровождения сервиса создан специальный фонд GitHub Sponsors Matching Fund, который будет заниматься распределением финансовых потоков.

Кроме спонсорства GitHub также представил новый сервис для обеспечения безопасности проектов, построенный на базе технологий, полученных в результате поглощения (Архивная копия от 30 октября 2020 на Wayback Machine) компании Dependabot. Dependabot теперь встроен в GitHub и доступен бесплатно. Сервис позволяет отслеживать уязвимости в зависимостях, отправлять владельцам репозиториев предупреждения о наличии проблем в зависимости и автоматически открывать pull-запросы для исправления выявленных уязвимостей.

Предупреждения отображаются во вкладке "Security" и включают исчерпывающие сведения об уязвимости и файлах проекта, которые затрагивает проблема. Исправление генерируются через обновление в списке зависимостей минимальной версии на версию, в которой уязвимость устранена. Сведения об уязвимостях извлекаются из баз MITRE CVE и WhiteSource, а также на основе уведомлений от мэйнтейнеров проектов и автоматического анализатора коммитов на GitHub c последующим подтверждением в системе ручного рецензирования.

Для мэйнтейнеров проектов введён в строй интерфейс для публикации и размещения отчётов об уязвимостях (security advisories), а также для приватного обсуждения в закрытом кругу вопросов, связанных с исправлением уязвимостей.

Кроме того для защиты от попадания конфиденциальных данных в публично доступные репозитории введён в строй сканер токенов и ключей доступа. Во время коммита сканер проверяет типовые форматы ключей и токены доступа к API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio. В случае выявления токена сервис-провайдеру направляется запрос для подтверждения утечки и отзыва скомпрометированных токенов.