LINUX.ORG.RU

Представлен donate ― self-hosted сервис пожертвований на задачи

 , , ,


11

5

Особенности:

  • KISS;
  • self-hosted;
  • отсутствие сборов (для примера, bountysource и gitcoin забирают себе 10% от выплаты);
  • поддержка множества криптовалют (на данный момент это Bitcoin, Ethereum и Cardano);
  • предполагается (и предусмотрена) поддержка GitLab, Gitea, и других Git-хостингов в будущем.
  • глобальный список задач со всех (то есть одного, на момент написания новости) инстансов на donate.dumpstack.io.

Механизм работы для GitHub со стороны владельца репозитория:

  • (опционально) необходимо развернуть сервис, можно использовать готовую конфигурацию для NixOS;
  • необходимо добавить GitHub Action — внутри вызывается утилита, которая сканирует задачи проекта и добавляет/обновляет комментарий о текущем состоянии кошельков для пожертвований, при этом приватная часть кошельков хранится только на сервере пожертвований (в будущем с возможностью вынести в оффлайн для крупных пожертвований, для ручного подтверждения выплаты);
  • во всех текущих задачах (и новых) появляется сообщение от github-actions[bot] с адресами кошельков для пожертвований (пример).

Механизм работы со стороны выполняющего задачу:

  • в комментарии к коммиту указывается, какую именно задачу этот коммит решает (см. closing issues using keywords);
  • в теле pull request указываются адреса кошельков в определенном формате (например, BTC{address}).
  • при принятии pull request выплата совершается автоматически.
  • если кошельки не указаны, либо указаны не все, то выплата средств для неуказанных кошельков совершается на кошельки по-умолчанию (например, это может быть общий кошелек проекта).

Безопасность:

  • поверхность атаки в целом небольшая;
  • исходя из механизмов работы, сервис должен иметь возможность отправлять средства самостоятельно, так что получение доступа к серверу будет означать контроль над средствами в любом случае — решением может быть только работа в неавтоматизированном режиме (например, подтверждение выплат вручную), которая вероятно (если проект будет достаточно успешен для того, чтобы кто-то задонатил на эту функциональность, то не вероятно, а точно) будет когда-то реализована;
  • критически важные части четко отделены (по сути, это единственный файл pay.go на 200 строк), тем самым упрощая security code review;
  • код прошел независимое security code review, что не означает отсутствие уязвимостей, но снижает вероятность их наличия, особенно в свете запланированной регулярности ревью;
  • также есть те части, которые не контролируются (например, API GitHub/GitLab/etc.), при этом возможные уязвимости в стороннем API планируется закрывать дополнительными проверками, тем не менее, в целом проблема в текущей экосистеме нерешаема и out of scope (возможная уязвимость с, например, возможностью закрывать чужие pull request и тем самым добавлять код в чужие проекты ― имеет гораздо более глобальные последствия).

>>> Подробности

anonymous

Проверено: alexferman ()

Картинка для новости ― https://imgur.com/a/Azghn0b.

Со всеми идеями и предложениями добро пожаловать в issues, а с критикой кода (а там есть множество возможностей для улучшений) ― в pulls.

Если вы хотите пообщаться лично, то все данные для контакта с разработчиком вы найдете на dumpstack.io.

anonymous ()
Ответ на: комментарий от yvv

Афуели что-ли?

бизнес, обычный бизнес! они печень у людей не вырывают и не съедают только потому что пока не придумали как это сделать так чтобы за это ничего не было.

anonymous ()
Ответ на: комментарий от menangen

Царю надо такой запилить, чтобы донатили фанатки на C++ изыскания

Как-то зашёл туда давече.

Фанатик: Царь, почему так долго не было статей?
Царь: Я месяц ждал ответа от поехавшего.

kostyarin_ ()

В шапке проекта [donate paypal], когда-то у меня такая же была. Упал доллар за несколько лет и я снёс всё это. Конечно у меня только одни поделки, но всё же верится с трудом, что эти штуки вообще имеют какой-то смысл.

kostyarin_ ()

Кстати, пацаны-братаны, кто-нибудь занимался сбором пожертвований? Насколько я знаю, по закону, пожертвования налогом не облагаются, но все мои знакомые предпочитают открыть ИП или как-то иначе налоги платить, чтоб им гос-во не сношало мозг.

perl5_guy ★★ ()
Ответ на: комментарий от annulen

ты, главное, не забудь написать, что это пузырь и что у тебя уже много лет горит из-за того, что ты не успел эти фантики в своё время приобрести или намайнить

anonymous ()

Наиболее рациональное поведение разработчиков при такой системе - годами держать нужные фичи нереализованными, чтобы набрать побольше голосов, городить баги для создания новых issues. Оно реально надо?

unC0Rr ★★★★★ ()
Ответ на: комментарий от unC0Rr

Если и будут, то пока меинтейнеры ждут, придёт кто-нибудь со стороны, решит, что скопившегося ему хватит, пишет патч, делает реквест и у меинтейнеров остаётся только либо принять и кусать локти, либо не принять и признаться в своих тёмных желаниях, получить шитшторм и больше так не делать.

andalevor ()
Ответ на: комментарий от devalone

Более того если это распространится - возможно будет использовать как доп заработок: если твой PR взяли как фикс/фичу - получаешь вознаграждение.

loz ★★★★★ ()
Ответ на: комментарий от Alve

Эти циферки можно конвертировать в другие циферки, которыми можно расплачиваться в магазине или снять в виде бумажек, которыми можно расплачиваться в магазине(в Чехии видел банкоматы для крипты).

devalone ()
Ответ на: комментарий от Deleted

Они обеспечены ВоЕнНоЙ и ЭкОнОмИчЕсКоЙ мОщЬю самой демократичной страны на Земле. А этими вашими подписями, криптографией можете себе задницу зашифровать.

ArkaDOSik ()
Ответ на: комментарий от Deleted

Чем эти циферки отличаются от банковского счёта?

Видишь ли, есть два варианта, зачем был задан вопрос. Либо ты этого правда не понимаешь, а это значит, что ты настолько малограмотен, что дожил до взрослого возраста и не в теме про «чем подкреплены деньги» (что неудивительно, ты не виноват, нынче все айтишники - тупые и дальше своего «реакта» или «сишарпа» ничего не знают, как дети прям); либо ты хочешь, чтобы я тебе ответил, а ты - троллил. Делать мне больше нечего.

На словах тут все готовы до соплей доказывать что крипта - такая же деньга, а сбережения всё равно хранят в долларах под матрасом и никто никогда не переведёт их в биткоин, разве что опять же «айтишник», с кругозором шириной с диагональ монитора.

Alve ★★★★★ ()
Ответ на: комментарий от Alve

Чем подкреплены такие смелые заявления? Доллар валился всю свою историю, если что. Это очень умно хранить инфлирующие зеленые бумажки под матрасом, да.

ArkaDOSik ()
Последнее исправление: ArkaDOSik (всего исправлений: 1)
Ответ на: комментарий от Alve

у тебя настолько сломана логика, что ты сейчас будешь доказывать, что ваши российские рубли - деньги? или не деньги? в любом случае сам себе противоречишь

anonymous ()
Ответ на: комментарий от Alve

ты настолько малограмотен, что дожил до взрослого возраста и не в теме про «чем подкреплены деньги»

тот факт, что ни одна валюта сегодня ничем не подкреплена, ты приводишь как доказательство? хитрый ход

anonymous ()

История будет та же самая что и с антивирусами…

Где гарантии, что разраб ПО не внесет умышленно баг, потом вот таким способом будет требовать выкуп пожертвование на исправление бага?!

fidaj ()
Последнее исправление: fidaj (всего исправлений: 1)
Ответ на: комментарий от Alve

значит, что ты настолько малограмотен, что дожил до взрослого возраста и не в теме про «чем подкреплены деньги» (что неудивительно, ты не виноват, нынче все айтишники - тупые и дальше своего «реакта» или «сишарпа» ничего не знают, как дети прям)

Малограмотен пока только один человек в треде, и он кичится этим.

anonymous ()