На сервисе GitHub появилась возможность финансировать открытые проекты. Если пользователь не имеет возможности помочь в разработке, то он может подключиться к интересующим проектам как спонсор и помогать через финансирование конкретным разработчикам, дизайнерам, авторам документации, тестировщикам и другим вовлеченных в проект участникам.
При помощи системы спонсорства любой пользователь GitHub может ежемесячно перечислять фиксированные суммы разработчикам отрытого кода, зарегистрировавшимся в сервисе в качестве участников, готовых получать финансовую поддержку (на время тестирования сервиса число участников ограничено). Спонсируемые участники могут определять уровни поддержки и связанные с ними привилегии для спонсоров, такие как внеочередное устранение ошибок. Рассматривается возможность организации финансирования не только отдельных участников, но и групп разработчиков, вовлеченных в работу над проектом.
В отличие от других площадок совместного финансирования GitHub не берет себе определенный процент за посредничество, а также первый год будет покрывать расходы на обработку платежей. В дальнейшем не исключается введение отчисления за обработку платежей. Для сопровождения сервиса создан специальный фонд GitHub Sponsors Matching Fund, который будет заниматься распределением финансовых потоков.
Кроме спонсорства GitHub также представил новый сервис для обеспечения безопасности проектов, построенный на базе технологий, полученных в результате поглощения компании Dependabot. Dependabot теперь встроен в GitHub и доступен бесплатно. Сервис позволяет отслеживать уязвимости в зависимостях, отправлять владельцам репозиториев предупреждения о наличии проблем в зависимости и автоматически открывать pull-запросы для исправления выявленных уязвимостей.
Кроме того, для защиты от попадания конфиденциальных данных в публично доступные репозитории введен в строй сканер токенов и ключей доступа. Вовремя коммита сканер проверяет типовые форматы ключей и токены доступа к API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio. В случае выявления токена сервис-провайдеру направляется запрос для подтверждения утечки и отзыва скомпрометированных токенов, сообщает myseldon.com.
