GitHub реализовал (https://github.blog/2019-05-23-announcing-github-sponsors-a-.../) систему спонсорства (https://github.com/sponsors) для оказания финансовой поддержки открытым проектам. Новый сервис предоставляет новую форму участия в развитии проектов - если пользователь не имеет возможности помочь в разработке, то он может подключиться к интересующим проектам как спонсор и помогать через финансирование конкретных разработчиков, мэйнтейнеров, дизайнеров, авторов документации, тестировщиков и других вовлечённых в проект участников.
При помощи системы спонсорства любой пользователь GitHub может ежемесячно перечислять фиксированные суммы разработчикам отрытого кода, зарегистрировавшимся (https://github.com/users/opennet/sponsors/waitlist) в сервисе в качестве участников, готовых получать финансовую поддержку (на время тестирования сервиса число участников ограничено). Спонсируемые участники могут определять уровни поддержки и связанные с ними привилегии для спонсоров, такие как внеочередное устранение ошибок. Рассматривается возможность организации финансирования не только отдельных участников, но и групп разработчиков, вовлечённых в работу над проектом.
В отличие от других площадок совместного финансирования GitHub не берёт себе определённый процент за посредничество, а также первый год будет покрывать расходы на обработку платежей. В дальнейшем не исключается введение отчисления за обработку платежей. Для сопровождения сервиса создан специальный фонд GitHub Sponsors Matching Fund, который будет заниматься распределением финансовых потоков.Кроме спонсорства GitHub также представил (https://github.blog/2019-05-23-introducing-new-ways-to-keep-.../) новый сервис для обеспечения безопасности проектов, построенный на базе технологий, полученных в результате поглощения (https://dependabot.com/blog/hello-github/) компании Dependabot. Dependabot теперь встроен в GitHub и доступен бесплатно.
Сервис позволяет отслеживать уязвимости в зависимостях, отправлять владельцам репозиториев предупреждения о наличии проблем в зависимости и автоматически открывать pull-запросы для исправления выявленных уязвимостей.
Предупреждения отображаюбтся во вкладке "Security" и включают исчерпывающие сведения об уязвимости и файлах проекта, которые затрагивает проблема. Исправление генерируются через обновление в списке зависимостей минимальной версии на версию, в которой уязвимость устранена. Сведения об уязвимостях извлекаются из баз MITRE CVE и WhiteSource (https://www.whitesourcesoftware.com/GitHubSecurityAlerts), а также на основе уведомлений от мэйнтейнеров проектов и автоматического анализатора коммитов на GitHub c последующим подтверждением в системе ручного рецензирования.Для мэйнтейнеров проектов введён в строй (https://help.github.com/en/articles/about-maintainer-securit...) интерфейс для публикации и размещения отчётов об уязвимостях (security advisories), а также для приватного обсуждения в закрытом кругу вопросов, связанных с исправлением уязвимостей.
Кроме того для защиты от попадания (https://www.opennet.me/opennews/art.shtml?num=50374) конфиденциальных данных в публично доступные репозитории введён в строй сканер (https://developer.github.com/partnerships/token-scanning/) токенов и ключей доступа. Во время коммита сканер проверяет типовые форматы ключей и токены доступа к API Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio. В случае выявления токена сервис-провайдеру направляется запрос для подтверждения утечки и отзыва скомпрометированных токенов.
URL: https://github.blog/2019-05-23-building-an-interconnected-co.../
Новость: https://www.opennet.me/opennews/art.shtml?num=50728
чорд, аплодирую MS стоя. сразу как угадали - revoke и только по факту уведомить почтой.насчет автореквестов по затыканию дыр в зависимостях всего от всего, в общем-то тоже можно будет поаплодировать, если они будут видны всем ;-) Авось пара обезьянок даже начнет понимать, что иногда лучше свой велосипед, чем дядин электросамокат с управлением через мабилу, не факт что твою.
Т.е. теперь под видом исправления уязвимости можно впендюрить во все приватные репозитории любые патчи, 90% проектов смерджат не глядя что угодно под этим соусом (хоть drop database хоть отправку телеметрии).
как будто тебе раньше кто мешал?(разумеется, для тех прожектов, которые смержат неглядя любое "CVE-#RADNDOM_HERE#" )
Этический вопрос: должен ли хостинг репозиториев сканировать содержимое репозиториев?
что значит "должен"?
Может, да. Ты, собственно, тоже можешь. И ревокнуть внезапно обнаруженный токен тоже можешь, без всякой помощи от гитхаба.
Но почему-то таких добряков мало, все норовят спереть и применить для засовывания майнера.
донаты, нужно больше донатов.опять попрошаек выращивают как твич.
Зависить — плохое чувство.
Не зависьте, зависимость ни к чему хорошему не приводит.
Ну нашёл что сравнить
Здесь хоть понятно за что донаты,
А вот твич это реально рассадник попрошаек из серии "хАчу резаться в свои игрушки круглосуточно, пока мамка башляет за электричество для моего компа и шоб мне за это ещё и бабла сыпали"
А что? Лучше чтобы у Patreon-а была монополия на такие отчисления?
> А что? Лучше чтобы у Patreon-а была монополия на такие отчисления?MS всяко лучше. Ага, да, точна.
Я не частый посетитель twitch и возможно не знаю полностью как он работает, но там вроде весь контент (или почти весь) в открытом доступе.В патреоне же как раз магазин, без доната там почти никто ничего не выкладывает.
> В патреоне же как раз магазин, без доната там почти никто ничего не выкладывает.Половина ютуберов с количеством подписчиков большим, чем «мои родственники и одноклассники», уже давно публично доступные видео сопровождают бегущими строками «эти люди подали копейку на канал на patreon (и вы тоже можете)» в конце.
> Половина ютуберов с количеством подписчиков большим, чем «мои родственники и одноклассники»,
> уже давно публично доступные видео сопровождают бегущими строками «эти люди подали
> копейку на канал на patreon (и вы тоже можете)» в конце.Это понятно, но я говорю про сам патреон, а не про другие площадки (ютуб). К тому же на патреоне далеко не только ютуберы.
> автоматически открывать pull-запросы для исправления выявленных уязвимостейКогда будут автоматические pull-запросы с добавлением рекламных блоков?
чем либрпей хуже? они изначально не брали проецент с транзакций. исходники либрпей открыты. видимо еще один источник доходов для микросотфа.
Тем, что он не встроен в интерфейс гитхаба. С этой фичей когда смотришь комменты в обсуждениях, сразу можно увидеть, кто халявщик, а кто партнер
а биткоин ещё лучше. Зачем это централизованное говно городить?А чтобы МС могла владеть чужими^Wсвоими, так как на своём оборудовании, деньгами
Микрософт приучает к платному софту.
К добровольным пожертвованиям.
https://github.com/elementary
Ждал этой новости 3 года!
Билли, мы не подвели!
што!?
О как! Говнокодеры теперь и с донатом. Скоро как на twitch будут давать доступ к коду только после подписки с донатом
покажи свой великолепный код
Ты первый день на опеннете, что ли? Ща он тебе объяснит, что его код слишком прекрасен, чтобы показывать его кому ни попадя, поэтому он только для эффективного манагера за еду пишет какую-то проприетарь.
Security adviser эт конечно хорошо. Но вот тока пока он умеет только rubygems и nodejs. Python не умеет.
Майкрософту денег не дам.
мне дай я не микрософт
Народ, \то что же получается, мелкомягкие собираются за счет опенсорса зарабатывать еще больше миллиардов, причем за счет простых программистов и пользователей библиотек и программ? Нужно бойкотировать этого ужравшегося монстра! Это же беспредел уже просто, где анти-монопольщики, где иски от опенсорс комьюнити?
Где пулл-реквесты??!!
В натуре, реальные пацаны если делают инфраструктуру бесплатной для опенсорсеров, то о монетизации даже не думают.
> В натуре, реальные пацаны если делают инфраструктуру бесплатной для опенсорсеров, то о
> монетизации даже не думают.Ото-то мы-то и не знали, а чём же это вурдалак http://www.opennet.me/openforum/vsluhforumID3/107969.html#18
думает. Затруднение! А тут и тов.Фарфуркис подоспели и http://www.opennet.me/openforum/vsluhforumID3/107082.html#54
разобраться изволили.И про бизнес-модели http://www.opennet.me/openforum/vsluhforumID3/112997.html#154
, и про бесплатные маонетизации в мышеловках https://www.opennet.me/openforum/vsluhforumID3/115850.html#117
-- всё-всё объяснили.Спасибо Вам.
Кто с кем разобрался? Потрудитесь излагать свои мысли яснее.
> Кто с кем разобрался? Потрудитесь излагать свои мысли яснее.Ты. С нашими затруднениями.
Всё-всё робъяснил "как надо".
Толкователь бизнесов и сратегий Микрософта.
Куда б нам без тебя-т.
> В отличие от других площадок совместного финансирования GitHub не берёт себе определённый процент за посредничествону это пока тоже временно, на хабре более подробно об этом писали
Не даёт покоя Patreon.
Вводим рычаги давления на разработчиков. окей...
Чёрт побери, кто ещё тут тормозит.Вы ещё не мигрировали на GitLab? Тогда мы идём к вам.
> Чёрт побери, кто ещё тут тормозит.
> Вы ещё не мигрировали на GitLab? Тогда мы идём к вам.в смысле, напугаете меня халявными деньгами, чтобы я испугался и убежал на гитляп? Хорошая попытка.
Таких как ты брендовые барыги любят, холят и лелеют, подкармливая тухлым силосом... А чето ты на СПО ресурсе делаешь, шароварник мотенирастный, на варезниках чего не проповедуешь?
> напугаете меня халявными деньгами, чтобы я испугалсяХалявных денег не бывает, так что пугайся и беги, если инстинкт самосохранения не атрофировался!
> GitHub реализовал систему спонсорства для оказания финансовой поддержки открытым проектамОсновная цель начинания опошлить идею и базовые принципы СПО?
Что и следовало ожидать! Спонсорскому ослику под хвост не смотрят? Даааа ужжж...
Правильно! Донаты должны собирать только порядочные люди, такие как RMS и ESR.
Сбор одного, выпрашивание другого и прочее, это инструменты торгашей и лохотронщиков.
> Сбор одного, выпрашивание другого и прочее, это инструменты торгашей и лохотронщиков.А, караул-палицыя! Фулюганы ника лишают...
...а хотя, постой. Можно, да! Пользуйся, малой, пока свою не отрастил.
Спасибо за щедрость! Зохавал.
> опошлить идею и базовые принципы СПО?Это ты про ту идею, что никто никому ничего не должен, потому что бесплатно всё делает?
Ну, извращенцы и барыги её именно так и понимают.
>> GitHub реализовал систему спонсорства для оказания финансовой поддержки открытым проектам
> Основная цель начинания опошлить идею и базовые принципы СПО?
> Что и следовало ожидать! Спонсорскому ослику под хвост не смотрят? Даааа ужжж...Поставил тебе [-]. Пейши есчо.
Не умничай, тебе это не идёт! Любитель халявных осликов...
> Не умничай, тебе это не идёт! Любитель халявных осликов...А ты ваще стой в сторонке тихо и учись молча, когда двое умных людей (меня) разговариают. <///>
Можешь ещё ник сменить на правильный. Мой. За умного сойдёшь. Пока,правда,не у всех получается, но они стараются.
Не ссорьтесь девочки, вы обе дурочки!
это слив однозначно, гарити в аду мелкасовты