The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GitHub запустил сервисы финансовой поддержки и информирования об уязвимостях

23.05.2019 19:23

GitHub реализовал систему спонсорства для оказания финансовой поддержки открытым проектам. Новый сервис предоставляет новую форму участия в развитии проектов - если пользователь не имеет возможности помочь в разработке, то он может подключиться к интересующим проектам как спонсор и помогать через финансирование конкретных разработчиков, мэйнтейнеров, дизайнеров, авторов документации, тестировщиков и других вовлечённых в проект участников.

При помощи системы спонсорства любой пользователь GitHub может ежемесячно перечислять фиксированные суммы разработчикам открытого кода, зарегистрировавшимся в сервисе в качестве участников, готовых получать финансовую поддержку (на время тестирования сервиса число участников ограничено). Спонсируемые участники могут определять уровни поддержки и связанные с ними привилегии для спонсоров, такие как внеочередное устранение ошибок. Рассматривается возможность организации финансирования не только отдельных участников, но и групп разработчиков, вовлечённых в работу над проектом.

В отличие от других площадок совместного финансирования GitHub не берёт себе определённый процент за посредничество, а также первый год будет покрывать расходы на обработку платежей. В дальнейшем не исключается введение отчисления за обработку платежей. Для сопровождения сервиса создан специальный фонд GitHub Sponsors Matching Fund, который будет заниматься распределением финансовых потоков.


Кроме спонсорства GitHub также представил новый сервис для обеспечения безопасности проектов, построенный на базе технологий, полученных в результате поглощения компании Dependabot. Dependabot теперь встроен в GitHub и доступен бесплатно. Сервис позволяет отслеживать уязвимости в зависимостях, отправлять владельцам репозиториев предупреждения о наличии проблем в зависимости и автоматически открывать pull-запросы для исправления выявленных уязвимостей.

Предупреждения отображаются во вкладке "Security" и включают исчерпывающие сведения об уязвимости и файлах проекта, которые затрагивает проблема. Исправление генерируются через обновление в списке зависимостей минимальной версии на версию, в которой уязвимость устранена. Сведения об уязвимостях извлекаются из баз MITRE CVE и WhiteSource, а также на основе уведомлений от мэйнтейнеров проектов и автоматического анализатора коммитов на GitHub c последующим подтверждением в системе ручного рецензирования.

Для мэйнтейнеров проектов введён в строй интерфейс для публикации и размещения отчётов об уязвимостях (security advisories), а также для приватного обсуждения в закрытом кругу вопросов, связанных с исправлением уязвимостей.

Кроме того для защиты от попадания конфиденциальных данных в публично доступные репозитории введён в строй сканер токенов и ключей доступа. Во время коммита сканер проверяет типовые форматы ключей и токены доступа к API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio. В случае выявления токена сервис-провайдеру направляется запрос для подтверждения утечки и отзыва скомпрометированных токенов.



  1. Главная ссылка к новости (https://github.blog/2019-05-23...)
  2. OpenNews: GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems
  3. OpenNews: Организация Linux Foundation представила платформу CommunityBridge
  4. OpenNews: GitHub меняет политику конфиденциальности и условия соблюдения санкций
  5. OpenNews: На GitHub выявлено 73 репозитория с бэкдорами
  6. OpenNews: GitHub частично перевёл приватные репозитории в разряд бесплатной опции
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50728-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, пох (?), 20:39, 23/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    чорд, аплодирую MS стоя. сразу как угадали - revoke и только по факту уведомить почтой.

    насчет автореквестов по затыканию дыр в зависимостях всего от всего, в общем-то тоже можно будет поаплодировать, если они будут видны всем ;-) Авось пара обезьянок даже начнет понимать, что иногда лучше свой велосипед, чем дядин электросамокат с управлением через мабилу, не факт что твою.

     
     
  • 2.11, Аноним (11), 22:02, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. теперь под видом исправления уязвимости можно впендюрить во все приватные репозитории любые патчи, 90% проектов смерджат не глядя что угодно под этим соусом (хоть drop database хоть отправку телеметрии).
     
     
  • 3.26, пох (?), 11:12, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    как будто тебе раньше кто мешал?

    (разумеется, для тех прожектов, которые смержат неглядя любое "CVE-#RADNDOM_HERE#" )

     
  • 2.20, Григорий Федорович Конин (?), 01:11, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Этический вопрос: должен ли хостинг репозиториев сканировать содержимое репозиториев?
     
     
  • 3.27, пох (?), 11:14, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    что значит "должен"?
    Может, да. Ты, собственно, тоже можешь. И ревокнуть внезапно обнаруженный токен тоже можешь, без всякой помощи от гитхаба.
    Но почему-то таких добряков мало, все норовят спереть и применить для засовывания майнера.

     

  • 1.2, robot228 (?), 20:42, 23/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    донаты, нужно больше донатов.

    опять попрошаек выращивают как твич.

     
     
  • 2.3, Аноним (3), 20:45, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Зависить — плохое чувство.
     
     
  • 3.5, Аноним (5), 20:52, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не зависьте, зависимость ни к чему хорошему не приводит.
     
  • 2.4, DiabloPC (ok), 20:48, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ну нашёл что сравнить
    Здесь хоть понятно за что донаты,
    А вот твич это реально рассадник попрошаек из серии "хАчу резаться в свои игрушки круглосуточно, пока мамка башляет за электричество для моего компа и шоб мне за это ещё и бабла сыпали"
     
  • 2.6, Аноним (6), 20:57, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А что? Лучше чтобы у Patreon-а была монополия на такие отчисления?
     
     
  • 3.22, Andrey Mitrofanov (?), 08:45, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что? Лучше чтобы у Patreon-а была монополия на такие отчисления?

    MS всяко лучше.  Ага, да, точна.

     
  • 2.15, Гентушник (ok), 22:27, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не частый посетитель twitch и возможно не знаю полностью как он работает, но там вроде весь контент (или почти весь) в открытом доступе.

    В патреоне же как раз магазин, без доната там почти никто ничего не выкладывает.

     
     
  • 3.35, имя (?), 19:57, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В патреоне же как раз магазин, без доната там почти никто ничего не выкладывает.

    Половина ютуберов с количеством подписчиков большим, чем «мои родственники и одноклассники», уже давно публично доступные видео сопровождают бегущими строками «эти люди подали копейку на канал на patreon (и вы тоже можете)» в конце.

     
     
  • 4.37, Гентушник (ok), 20:39, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Половина ютуберов с количеством подписчиков большим, чем «мои родственники и одноклассники»,
    > уже давно публично доступные видео сопровождают бегущими строками «эти люди подали
    > копейку на канал на patreon (и вы тоже можете)» в конце.

    Это понятно, но я говорю про сам патреон, а не про другие площадки (ютуб). К тому же на патреоне далеко не только ютуберы.

     

  • 1.7, Аноним (7), 21:01, 23/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > автоматически открывать pull-запросы для исправления выявленных уязвимостей

    Когда будут автоматические pull-запросы с добавлением рекламных блоков?

     
  • 1.8, Аноним (8), 21:10, 23/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    чем либрпей хуже? они изначально не брали проецент с транзакций. исходники либрпей открыты. видимо еще один источник доходов для микросотфа.
     
     
  • 2.14, Аноним (14), 22:25, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что он не встроен в интерфейс гитхаба. С этой фичей когда смотришь комменты в обсуждениях, сразу можно увидеть, кто халявщик, а кто партнер
     
  • 2.17, Аноним (17), 23:42, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а биткоин ещё лучше. Зачем это централизованное говно городить?А чтобы МС могла владеть чужими^Wсвоими, так как на своём оборудовании, деньгами
     

  • 1.9, Аноним (9), 21:24, 23/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Микрософт приучает к платному софту.
     
     
  • 2.13, Аноним (13), 22:11, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К добровольным пожертвованиям.
    https://github.com/elementary
     

  • 1.10, Аноним (10), 21:55, 23/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ждал этой новости 3 года!
     
     
  • 2.12, гитхап (?), 22:07, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Билли, мы не подвели!
     
     
  • 3.16, што (?), 22:47, 23/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    што!?
     

  • 1.18, Аноним (18), 00:47, 24/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О как! Говнокодеры теперь и с донатом. Скоро как на twitch будут давать доступ к коду только после подписки с донатом
     
     
  • 2.23, анонимка (?), 10:06, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    покажи свой великолепный код
     
     
  • 3.29, Аноним (29), 11:49, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты первый день на опеннете, что ли? Ща он тебе объяснит, что его код слишком прекрасен, чтобы показывать его кому ни попадя, поэтому он только для эффективного манагера за еду пишет какую-то проприетарь.
     

  • 1.19, Аноним (18), 00:49, 24/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Security adviser эт конечно хорошо. Но вот тока пока он умеет только rubygems и nodejs. Python не умеет.
     
  • 1.21, Аноним (-), 05:07, 24/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Майкрософту денег не дам.
     
     
  • 2.24, Аноним (24), 10:41, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мне дай я не микрософт
     

  • 1.25, Anon_Erohin (?), 10:45, 24/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Народ, \то что же получается, мелкомягкие собираются за счет опенсорса зарабатывать еще больше миллиардов, причем за счет простых программистов и пользователей библиотек и программ? Нужно бойкотировать этого ужравшегося монстра! Это же беспредел уже просто, где анти-монопольщики, где иски от опенсорс комьюнити?
     
     
  • 2.28, Аноним (11), 11:29, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Где пулл-реквесты??!!
     
  • 2.30, Аноним (29), 11:52, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В натуре, реальные пацаны если делают инфраструктуру бесплатной для опенсорсеров, то о монетизации даже не думают.
     
     
  • 3.31, Andrey Mitrofanov (?), 13:17, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В натуре, реальные пацаны если делают инфраструктуру бесплатной для опенсорсеров, то о
    > монетизации даже не думают.

    Ото-то мы-то и не знали, а чём же это вурдалак  http://www.opennet.dev/openforum/vsluhforumID3/107969.html#18
    думает.   Затруднение!  А тут и тов.Фарфуркис подоспели и http://www.opennet.dev/openforum/vsluhforumID3/107082.html#54
    разобраться изволили.

    И про бизнес-модели http://www.opennet.dev/openforum/vsluhforumID3/112997.html#154
    , и про бесплатные маонетизации в мышеловках https://www.opennet.dev/openforum/vsluhforumID3/115850.html#117
    -- всё-всё объяснили.

    Спасибо Вам.

     
     
  • 4.33, Аноним (7), 15:06, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кто с кем разобрался? Потрудитесь излагать свои мысли яснее.
     
     
  • 5.34, Andrey Mitrofanov (?), 15:28, 24/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто с кем разобрался? Потрудитесь излагать свои мысли яснее.

    Ты.  С нашими затруднениями.

    Всё-всё робъяснил "как надо".

    Толкователь бизнесов и сратегий Микрософта.

    Куда б нам без тебя-т.

     

  • 1.32, Аноним (32), 14:29, 24/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В отличие от других площадок совместного финансирования GitHub не берёт себе определённый процент за посредничество

    ну это пока тоже временно, на хабре более подробно об этом писали

     
  • 1.36, Wilem (?), 20:07, 24/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не даёт покоя Patreon.
     
  • 1.38, InuYasha (?), 11:39, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вводим рычаги давления на разработчиков. окей...
     
  • 1.39, Аноним (39), 13:04, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Чёрт побери, кто ещё тут тормозит.

    Вы ещё не мигрировали на GitLab? Тогда мы идём к вам.

     
     
  • 2.40, разработчик (?), 13:15, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Чёрт побери, кто ещё тут тормозит.
    > Вы ещё не мигрировали на GitLab? Тогда мы идём к вам.

    в смысле, напугаете меня халявными деньгами, чтобы я испугался и убежал на гитляп? Хорошая попытка.

     
     
  • 3.41, Аноним (-), 17:34, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Таких как ты брендовые барыги любят, холят и лелеют, подкармливая тухлым силосом... А чето ты на СПО ресурсе делаешь, шароварник мотенирастный, на варезниках чего не проповедуешь?
     
  • 3.50, Mhigorin Sichael (?), 11:32, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > напугаете меня халявными деньгами, чтобы я испугался

    Халявных денег не бывает, так что пугайся и беги, если инстинкт самосохранения не атрофировался!

     

  • 1.42, Andrey Mitrofanov (?), 22:23, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > GitHub реализовал систему спонсорства для оказания финансовой поддержки открытым проектам

    Основная цель начинания опошлить идею и базовые принципы СПО?
    Что и следовало ожидать! Спонсорскому ослику под хвост не смотрят? Даааа ужжж...

     
     
  • 2.43, Mitrofan Andreev (?), 19:46, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Правильно! Донаты должны собирать только порядочные люди, такие как RMS и ESR.
     
     
  • 3.45, Andrey Mitrofanov (?), 02:46, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сбор одного, выпрашивание другого и прочее, это инструменты торгашей и лохотронщиков.
     
     
  • 4.48, Andrey Mitrofanov (?), 08:17, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Сбор одного, выпрашивание другого и прочее, это инструменты торгашей и лохотронщиков.

    А, караул-палицыя! Фулюганы ника лишают...

    ...а хотя, постой.  Можно, да!  Пользуйся, малой, пока свою не отрастил.

     
     
  • 5.49, Аноним (7), 15:00, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо за щедрость! Зохавал.
     
  • 2.44, Анончек (?), 23:02, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > опошлить идею и базовые принципы СПО?

    Это ты про ту идею, что никто никому ничего не должен, потому что бесплатно всё делает?

     
     
  • 3.46, Andrey Mitrofanov (?), 02:47, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну, извращенцы и барыги её именно так и понимают.
     
  • 2.47, Andrey Mitrofanov (?), 08:15, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> GitHub реализовал систему спонсорства для оказания финансовой поддержки открытым проектам
    > Основная цель начинания опошлить идею и базовые принципы СПО?
    > Что и следовало ожидать! Спонсорскому ослику под хвост не смотрят? Даааа ужжж...

    Поставил тебе [-].  Пейши есчо.

     
     
  • 3.51, Mitrofan Andreew (?), 11:36, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не умничай, тебе это не идёт! Любитель халявных осликов...
     
     
  • 4.52, Andrey Mitrofanov_N0 (?), 13:16, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не умничай, тебе это не идёт! Любитель халявных осликов...

    А ты ваще стой в сторонке тихо и учись молча, когда двое умных людей (меня) разговариают. <///>

    Можешь ещё ник сменить на правильный.  Мой.  За умного сойдёшь.  Пока,правда,не у всех получается, но они стараются.

     
     
  • 5.53, Skulll_3 (?), 18:54, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не ссорьтесь девочки, вы обе дурочки!
     

  • 1.54, Аноним (-), 07:57, 31/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    это слив однозначно,  гарити в аду мелкасовты
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру