Гитхаб зарабатывает деньги предлагая премиальные планы подписки командам и организациям, а также плату, которую они получают, когда пользователи покупают сторонние приложения на своей платформе.. Компания GitHub, основанная в 2008 году и имеющая штаб-квартиру в Сан-Франциско, штат Калифорния, стала ведущим онлайн-инструментом для совместной работы в сфере программного обеспечения.
Соответственно, успешен ли GitHub? GitHub добился невероятного роста и успеха выявив главную проблему, над которой боролись миллионы людей во всем мире, — как совместно работать над кодом, — и разработав элегантное решение, в котором отчаянно нуждался рынок.
Кто является конкурентом GitHub? Основные конкуренты GitHub включают BitBucket, CircleCI, Amazon Web Services, Atlassian и Gitlab. GitHub — это компания, предоставляющая услуги хостинга кода, позволяющие разработчикам создавать программное обеспечение для проектов с открытым исходным кодом и частных проектов в организациях. Bitbucket — это веб-служба хостинга репозиториев с контролем версий.
Твой GitHub должен быть ПУСТЫМ
Кроме того, что такое модель дохода GitHub?
GitHub — крупнейшая в мире веб-платформа для обмена кодом и управления разработкой проектов. Их ценностное предложение заключается в том, что «любой может разместить свой программный код на серверах GitHub и сотрудничать с ним несколькими разработчиками, командами и организациями». ‘ Их модель дохода условно-бесплатная модель.
Как получить финансирование от GitHub?
Если ваша организация готова получить финансирование, но у нее нет банковского счета, зарегистрируйтесь на фискальном хосте, таком как Open Source Collective. Если у вас есть фискальный хост, ваша организация GitHub может подписаться на спонсорство. Когда вы подписываетесь на спонсоров GitHub, выберите «Эта организация использует фискальный хост».
GitHub безопасен? Да, сам GitHub безопасен и надежен. Однако при загрузке программ с GitHub всегда следует соблюдать осторожность и загружать только те программы, которые созданы разработчиками, которым вы можете доверять.
Является ли GitHub бесплатным? С GitHub бесплатно для личных аккаунтов, вы можете работать с неограниченным количеством соавторов в неограниченных общедоступных репозиториях с полным набором функций и в неограниченных частных репозиториях с ограниченным набором функций. С GitHub Free ваша личная учетная запись включает в себя: Поддержка сообщества GitHub.
Почему GitHub такой мощный? GitHub — крупнейшая в мире платформа для разработки программного обеспечения. Он предоставляет облачное хранилище для исходного кода, поддерживает все популярные языки программирования и упрощает процесс итерации.. По своей сути платформа использует систему Git, которая контролирует версии и запускается в интерфейсе командной строки.
GitHub — это то же самое, что GitLab?
С и GitHub, и GitLab являются системами контроля версий (VCS), может быть трудно выбрать один из двух. Наиболее существенное различие между ними заключается в том, что, хотя GitHub — это платформа для совместной работы, которая помогает удаленно просматривать коды и управлять ими, GitLab в основном ориентирован на DevOps и CI/CD.
Chat GPT = $1,631 A Day / AI Bot — Super Simple Method!
Чем битбакет отличается от GitHub? Содержание. Если свести все к самому основному различию между GitHub и Bitbucket, то оно заключается в том, что GitHub ориентирован на общедоступный код, а Bitbucket — на частный.. GitHub имеет огромное сообщество разработчиков открытого исходного кода, а Bitbucket, как правило, имеет в основном корпоративных и бизнес-пользователей.
Для чего используется GitHub?
GitHub — это онлайн-платформа для разработки программного обеспечения, используемая для хранение, отслеживание и совместная работа над программными проектами. Это позволяет разработчикам загружать свои собственные файлы кода и сотрудничать с другими разработчиками в проектах с открытым исходным кодом.
Почему Git так популярен? Одним из самых больших преимуществ Git является его возможности ветвления. В отличие от централизованных систем контроля версий, ветки Git дешевы и легко объединяются. Это упрощает рабочий процесс ветки функций, популярный среди многих пользователей Git.
Как работает спонсорство GitHub?
GitHub Sponsors — еще один способ внести свой вклад в открытый исходный код: финансовая поддержка людей, которые строят и поддерживают его. Финансирование отдельных лиц помогает им продолжать выполнять важную работу, расширяет возможности для участия и дает разработчикам признание, которого они заслуживают.
Спонсирует ли GitHub?
О спонсорах GitHub
Спонсоры GitHub позволяют сообществу разработчиков оказывать финансовую поддержку людям и организациям, которые проектируют, создают и поддерживают проекты с открытым исходным кодом, от которых они зависят, непосредственно на GitHub..
Источник: themoney.co
Как хакнуть Github и заработать $35000?
Когда я нашёл эту уязвимость и сообщил о ней, она стала моим первым оплаченным баг-репортом на HackerOne. $35,000 — это также самая высокая награда, которую я получил от HackerOne (и я считаю, что самая высокая оплата от GitHub на сегодня). Многие найденные ошибки, кажется, — это удача и интуиция, вместе взятые. В этом посте я расскажу, как мыслил, приближаясь к цели.
Как началась история
Ковид ударил весной, в первый год старшей школы. От нечего делать между онлайн-занятиями я начал охоту за багами. Конкретно эта награда была за сообщение об уязвимости приватных страниц Github в рамках программы Баг Баунти. В частности, было и два бонуса CTF (capture the flag — состязание по типу захвата флага, здесь — в информационной безопасности):
- $10000 чтение флага flag.private-org.github.io без взаимодействия с пользователем. Бонус в $5000 за то, что флаг читается с аккаунта внутри приватной организации.
- $5000: чтение флага flag.private-org.github.io через взаимодействие с пользователем.
Поток аутентификации
Страницы GitHub размещаются в отдельном домене github.io, поэтому куки-файлы аутентификации github.com не отправляются на сервер приватных страниц. Таким образом, аутентификация частной страницы не имеет возможности определить личность пользователя без дополнительной интеграции с github.com, поэтому GitHub создал собственный поток аутентификации. И ввёл возможность сущестWowания багов. На момент отчёта этот поток выглядел так:
А теперь подробнее.
При посещении приватной страницы сервер проверяет, существует ли файл куки __Host-gh_pages_token . Если этот файл не установлен или установлен неправильно, сервер приватной страницы перенаправит на https://github.com/login . Этот начальный редирект также устанавливает nonce , который хранится в куки __Host-gh_pages_session .
Обратите внимание, что этот куки использует префикс куки __Host-, который, в теории, в качестве дополнительной защиты в глубину, предотвращает его установку из JS с родительского домена.
/redirect просто перенаправляет на https://repo.org.github.io/__/auth . Эта последняя конечная точка затем устанавливает куки аутентификации для домена repo.org.github.io , __Host-gh_pages_token и __Host-gh_pages_id . Также вместе с ранее установленным __Host-gh_pages_session на валидность проверяется nonce.
На протяжении всего потока аутентификации такая информация, как исходный путь запроса и идентификатор страницы, хранится в параметрах запроса — path и page_id соответственно. Nonce также передаётся в параметре nonce . Хотя поток аутентификации, возможно, немного изменился (отчасти из-за этого отчёта), общая идея остаётся прежней.
Эксплоит
CRLF возвращается
Первая уязвимость — CRLF-инъекция в параметре page_id запроса https://repo.org.github.io/__/auth .
Возможно, лучший способ найти уязвимые места — поиграть. Исследуя поток аутентификации, я заметил, что парсинг page_id, похоже, игнорировал пробельные символы. Интересно, что он также рендерил параметр непосредственно в заголовок Set-Cookie. К примеру, page_id=12345%20 вернул это:
Set-Cookie: __Host-gh_pages_id=12345 ; Secure; HttpOnly; path=/
Псевдокод предположительно такой:
page_id = query.page_id do_page_lookup(to_int(page_id)) set_page_id_cookie(page_id)
Другими словами, page_id преобразуется в целое число, а также отображается напрямую в заголовок Set-Cookie. Проблема была в том, что мы не можем отобразить текст напрямую. Несмотря на то, что у нас была классическая CRLF-инъекция, размещение любых непробельных символов привело к поломке парсинга целого. Мы могли бы прервать поток аутентификации, отправив page_id=12345%0d%0a%0d%0a , но, кроме интересного ответа, никакого немедленного воздействия не было.
; Secure; HttpOnly; path=/ Cache-Control: private Location: https://83e02b43.near-dimension.github.io/ X-GLB-L
Дополнительное примечание: заголовок Location: был добавлен после заголовка Set-Cookie , поэтому наш ответ Location выталкивает за пределы отправленных HTTP-заголовков. Это редирект на 302, но, несмотря на это, заголовок Location игнорируется и отображается содержимое тела.
Из грязи в князи
Немного просмотрев на GitHub Enterprise (который дал доступ к исходному коду), я заподозрил, что сервер приватных страниц реализован на Nginx OpenResty. Будучи относительно низкоуровневым, возможно, он имел проблемы с нулевыми байтами. А попытка не пытка, правильно?
Оказалось, что добавление нулевого байта прерывает парсинг целого. Другими словами, можно передать такую полезную нагрузку:
«?page_id=» + encodeURIComponent(«rnrnx00alert(origin)»)
Обратите внимание, что, если в заголовке есть нулевой байт, ответ будет отклонён. Таким образом, нулевой байт должен прийти в начале тела (это означает, что мы не можем выполнить атаку через инъекцию в заголовок).
Мы добились выполнения произвольного JavaScript на странице приватного домена. Единственная проблема — нужен способ обойти nonce . Параметры page_id и path известны, а nonce не позволяет нам отправлять жертв вниз по потоку аутентификации с отравленным page_id . Нам нужно либо зафиксировать, либо спрогнозировать nonce .
Обходим nonce
Первое наблюдение — поддомены одной организации могут устанавливать куки-файлы друг на друга. Так происходит потому, что *.github.io нет в публичном списке суффиксов. Таким образом установленные на private-org.github.io куки передаются на private-page.private-org.github.io.
Nonce обойти будет легко, если мы как-то сможем обойти защиту префикса __Host- . Просто установим фальшивый nonce на страницу поддомена того же уровня, значение будет передано ниже. К счастью, этот префикс не принудителен во всех браузерах.
Ну, ладно. неправильно говорить не во всех. Похоже, в смысле этого обхода уязвим только IE. Придётся постараться. А что, если атаковать сам nonce ? генерация выглядит надёжной, и, если честно, криптография — не моя сильная сторона. Найти обход применяемой в nonce энтропии, несмотря ни на что, — это казалось маловероятным. Как же тогда зафиксировать nonce ?
Вернёмся к истокам — RFC. В конце концов, я наткнулся на интересную идею — как нормализовать куки? В частности, как следует обращаться с куки с учётом верхнего регистра. «__HOST-» — это то же самое, что «__Host-» ? Легко убедиться, что в браузерах с куками разного регистра обращаются по-разному:
document.cookie = «__HOST-Test=1»; // works document.cookie = «__Host-Test=1»; // fails
Оказывается, сервер приватных страниц GitHub при разборе куки-файлов игнорирует заглавные буквы. И у нас есть префиксный обход. А теперь собираем доказательство концепции атаки XSS!
const = «__HOST-gh_pages_session=dea8c624-468f-4c5b-a4e6-9a32fe6b9b15; domain=.private-org.github.io»; location = «https://github.com/pages/auth?nonce=dea8c624-468f-4c5b-a4e6-9a32fe6b9b15 + id + «%0d%0a%0d%0a%00alert(origin)%3c%2fscript>;
Уже этого достаточно, чтобы заработать бонус в $5000. Но я хотел посмотреть, получится ли продвинуться дальше.
Отравление кэша
И вот ещё один недостаток дизайна — выяснилось, что в ответ на конечную точку /__/auth? кэшировалось только целое значение page_id . Само по себе это безвредно: установленный этой конечной точкой токен скопирован на личную страницу и не имеет никаких других привилегий.
В то же время такая практика в проектировании несколько сомнительна. Получение токенами дополнительных привилегий потенциально может стать источником проблем безопасности.
Независимо от этого, такое кэширование — лёгкий способ усугубить атаку. Поскольку он делается на разобранном целочисленном значении, успешная атака на кэш с полезной нагрузкой XSS может повлиять на других пользователей, которые даже не взаимодейстWowали с вредоносной нагрузкой, как показано ниже:
Злоумышленник контролирует unprivileged.org.github.io и хочет добраться до privileged.org.github.io . Он атакует поток аутентификации unprivileged.org.github.io — и полезная нагрузка XSS кэшируется.
Когда привилегированный пользователь посещает unprivileged.org.github.io, он подвергается XSS атаке на домен unprivileged.org.github.io . Куки могут устанавливаться на общем родительском домене org.github.io , поэтому теперь злоумышленник может атаковать privileged.org.github.io .
Эти действия позволяют любому злоумышленнику с разрешениями на чтение приватной страницы постоянно атаковать поток аутентификации этой страницы. Ё-моё!
Публичные и приватные страницы
Чтобы получить бонус — 15000 долларов, нужно выполнить эту атаку с учётной записи пользователя, которого в организации нет. И нам везёт: мы можем злоупотребить тем, что кажется ещё одной ошибкой конфигурации — разделением страниц на «публичные» и «приватные».
Ошибка в конфигурации приватных страниц позволяет публичным репозиториям также иметь свои собственные «приватные» страницы. После обычной аутентификации эти страницы открыты для всех. Если такая публично-приватная страница есть у организации, она доступна для чтения любому пользователю Github. Получить доступ можно так:
Это происходит, когда репозиторий приватных страниц делают публичным. Ситуация вполне правдоподобна: например, организация может изначально создать приватный репозиторий с соответствующей приватной страницей. Позже она может решить открыть исходный код проекта, изменив статус репозитория на общедоступный.
В комбинации с изложенным выше получается, что непривилегированный пользователь вне организации может с опорой на приватно-публичную страницу скомпрометировать потоки аутентификации внутренних приватных страниц.
В целом это даёт хорошее доказательство концепции, показывающее, как злоумышленник извне может использовать сотрудника организации, чтобы перейти на другие приватные страницы.
Так мы заработали максимальный бонус CTF. Устойчивость достигается отравлением кэша или другим техниками, которые мы оставим читателям в качестве упражнения.
Этой уязвимости присвоили высокий приоритет, базовая выплата составила 20 000 долларов, а с бонусом CTF мы заработали 35 000 долларов. Довольно круто, что такая относительно малоизвестная уязвимость, как инъекция CRLF, обнаружилась на GitHub. Хотя большая часть кода написана на Ruby, некоторые компоненты, такие как аутентификация приватной страницы, написаны не на этом языке и могут быть уязвимы к низкоуровневым атакам. В общем, везде, где есть сложные взаимодействия, ошибки только ждут, чтобы мы их нашли.
Обнаруженная уязвимость кажется одной на миллион. Это как продеть нитку в иголку — должен выстроиться целый ряд событий. В то же время, думаю, чтобы найти нечто подобное, требуется в меру развитая интуиция и навыки, которые как раз можно получить на курсе Этичный хакер.
Узнайте, как прокачаться и в других специальностях или освоить их с нуля:
- Профессия Data Scientist
- Профессия Data Analyst
- Курс по Data Engineering
ПРОФЕССИИ
- Профессия Fullstack-разработчик на Python
- Профессия Java-разработчик
- Профессия QA-инженер на JAVA
- Профессия Frontend-разработчик
- Профессия Этичный хакер
- Профессия C++ разработчик
- Профессия Разработчик игр на Unity
- Профессия Веб-разработчик
- Профессия iOS-разработчик с нуля
- Профессия Android-разработчик с нуля
КУРСЫ
- Курс по Machine Learning
- Курс «Machine Learning и Deep Learning»
- Курс «Математика для Data Science»
- Курс «Математика и Machine Learning для Data Science»
- Курс «Python для веб-разработки»
- Курс «Алгоритмы и структуры данных»
- Курс по аналитике данных
- Курс по DevOps
Источник: temofeev.ru
Как работает и зарабатывает деньги GitHub
GitHub — это крупнейшая в мире платформа для разработки программного обеспечения, которая используется известными компаниями, а также частными лицами для разработки, хранения и обмена кодом. Данный веб-сервис был выкуплен компанией Microsoft в 2018 году за 7.5 миллиарда долларов. Но прежде чем мы перейдем к GitHub и его бизнес-модели, нам нужно узнать о «Git».
Да, Git и GitHub — это разные вещи, и GitHub строится на Git. Не было бы GitHub, если бы не Git.
Что такое Git?
Большинство людей знают или хотя бы слышали о Linux. Для непосвященных, Linux — это такая же операционная система, как Windows и macOS, но отличается от двух последних тем, что она с открытым исходным кодом и бесплатна в использовании. Linux был основан Линусом Торвальдом и выпущен в 1991 году как программное обеспечение с открытым исходным кодом.
Ядро Linux (ядро — это код в операционной системе, который помогает подключить аппаратное обеспечение к программному обеспечению) разрабатывается и поддерживается большой группой разработчиков, и сначала изменения в ядре Linux просто передавались вручную в режиме онлайн в виде исправлений и архиWow. Этот подход был признан слишком громоздким.
Так, в 2002 году этот процесс был перенесен на проприетарного поставщика программного обеспечения для управления версиями (система контроля версий — это категория программных инструментов, которые помогают команде программного обеспечения управлять изменениями исходного кода с течением времени) под названием BitKeeper, который в то время был бесплатен для использования. Но в 2005 году BitKeeper начал взимать плату за свои услуги, и поэтому сообщество Linux осталось без надлежащей VCS (Version Control System/системы контроля версий). Это подтолкнуло Торвальда к разработке собственной VCS, и, таким образом, Git родился в 2005 году как VCS с открытым исходным кодом.
Что приводит нас к GitHub.
Что такое GitHub?
GitHub — это компания, предоставляющая хостинг людям, которые хотят использовать Git в качестве системы контроля версий (VCS).
Вы можете использовать Git локально или на своем сервере, которым вы можете поделиться с вашей командой, но это приносит много накладных расходов, таких как обслуживание сервера и права доступа. GitHub помогает обеспечить основные функции Git:
- Распределенная система контроля версий (DVCS). Любой может работать с любым (разрешенным) хранилищем независимо от того, подключен ли центральный сервер к сети.
- Расширенные возможности ветвления и слияния.
- Промежуточная область для запуска определенных фрагментов кода.
- И все это вместе с дополнительным функционалом, который предлагается самим веб-сервисом GitHub
GitHub был создан Томом Престоном-Вернером, Крисом Уонстратом и Пиджи Хайетом и запущен в 2008 году. Крис и Том начали работать на основе GitHub в конце 2007 года, когда еще Git не был широко известен.
GitHub можно рассматривать как облачное хранилище для кода, где вы также можете легко общаться, обнародовать свой код, а также использовать код других пользователей.
Когда GitHub был запущен в 2008 году, его конкурент Sourceforge был практически единственной альтернативой по умолчанию для многих программистов, когда речь шла о работе над проектами с открытым исходным кодом. Но Sourceforge был полон рекламы и имел плохой UX/UI, если не сказать больше.
По сравнению с Sourceforge, у GitHub был понятный и, что самое главное, чистый интерфейс с мощными и полезными функциями, которые разработчик мог использовать бесплатно. С тех пор GitHub стал платформой хостинга для проектов, использующих Git.
По состоянию на январь 2020 года GitHub является крупнейшим хостом исходных кодов в мире и имеет более 100 миллионов репозиториев программного обеспечения (из которых 28 миллионов являются публичными репозиториями) и более 40 миллионов пользователей, использующих его платформу.
Бизнес Модель GitHub
GitHub следует модели freemium, где можно бесплатно создавать неограниченные — публичные и частные — репозитории. Вам необходимо заплатить плату, чтобы получить дополнительные функции, такие как бóльшая пропускная способность, больше памяти, лучшие организационные инструменты и дополнительные настройки.
Как работает GitHub?
GitHub предоставляет оптимизированные версии функций Git — они рассматриваются как разветвление (fork), запрос на извлечение (pull request) и слияние (merge).
Опция «fork» позволяет кому угодно копировать репозиторий другого пользователя вместе с историей версий и работать над ним.
По завершении работы вы можете поделиться вновь созданным или отредактированным кодом с первоначальным владельцем, используя «запрос на извлечение».
Это позволяет первоначальному владельцу просмотреть код и внесенные изменения и, если необходимо, он может даже включить ваши изменения в репозиторий с помощью «слияния».
Ключевые партнеры GitHub
Сообщество открытого исходного кода
Сообщество открытого исходного кода является основным компонентом GitHub и его сервисов. Это еще более усиливается тем фактом, что основы GitHub созданы на Git с открытым исходным кодом. Некоторые проекты с открытым исходным кодом на GitHub не только имеют тысячи участников, но и являются основными зависимостями для миллионов других репозиториев.
Разработчики и IT-индустрия
Отдельные разработчики и ИТ-индустрия являются основными пользователями GitHub. Почти все известные игроки в сфере информационных технологий, такие как Google, Microsoft, Facebook и Twitter, размещают свои проекты на GitHub.
Операционная модель GitHub
Подход GitHub к обеспечению платформы системы контроля версий довольно прост. GitHub позволяет своим пользователям иметь возможность:
1. Создавать репозитории
2. Делать коммиты — для загрузки или редактирования файлов
3. Создавать ветки репозиториев
4. Клонировать, скачивать и разветвлять репозитории
Все это работает на платформе Git. Это основные общие возможности, доступные всем пользователям GitHub.
Но теперь встает вопрос, как GitHub зарабатывает деньги, если позволяет бесплатному аккаунту создавать неограниченное количество публичных и частных репозиториев?
Как GitHub зарабатывает деньги
Планы подписки
GitHub предлагает множество премиальных планов подписки, которые предоставляют пользователям доступ к расширенному облачному хранилищу и настройкам. Вот несколько из его планов:
GitHub Free — план GitHub Free позволяет пользователям создавать неограниченное количество как публичных, так и частных репозиториев и делиться ими с любым количеством соавторов. План GitHub Free также предлагает пользователям 500 МБ хранилища для их кода и файлов и 2000 минут действий в месяц.
GitHub Team — план GitHub Team стоит 4 доллара на пользователя / в месяц и предоставляет все, что предлагает GitHub Free, наряду с контролем доступа команды, 2 ГБ хранилища пакетов GitHub, 3000 минут действий в месяц, и дает рекомендации по безопасности GitHub — что позволяет создавать частные рекомендации по безопасности и исправить уязвимости.
GitHub Enterprise — план GitHub Enterprise стоит 21 доллар на пользователя в месяц. Это настраиваемая версия плана GitHub Team, которая может быть выполнена по индивидуальному заказу, а также 50 ГБ хранилища, 50 000 минут действий в месяц и некоторые расширенные возможности с дополнительными настройками.
План Enterprise является крупнейшим источником дохода для GitHub. Более 50% доходов GitHub приходится на корпоративный план, который используют организации и частные лица.
GitHub One — планы GitHub One больше ориентированы на крупные корпорации и представляют собой индивидуальную версию плана GitHub Enterprise. Он включает в себя все, что предлагает план GitHub Enterprise, а также дополнительные функции, такие как безопасность на уровне сообщества, доступность поддержки 24/7, действенные показатели и возможности непрерывного обучения.
GitHub Marketplace
GitHub также предоставляет отдельную услугу, которую он называет Marketplace, она позволяет пользователям иметь возможность искать, покупать и загружать приложения, а также делиться своими приложениями на платформе.
GitHub получает 25% с каждой продажи, сделанной на своей торговой площадке.
Мерчендайзинг
У GitHub есть свой магазин, в котором продаются товары компании.
В магазине GitHub представлены различные товары: футболки, наклейки, толстовки, предметы коллекционирования, предметы домашнего обихода и головные уборы.
Если сложить все вместе, то GitHub имеет простую и понятную бизнес-модель, в которой он предоставляет хостинг-услуги для компаний и отдельных разработчиков, в удобной и красивой упаковке. Такие компании, как Google, Facebook, Microsoft и Twitter, размещают свои проекты на GitHub, причем большинство из них являются открытыми и общедоступными.
GitHub не только изменил мир к более ориентированному на открытый исходный код подходу, но и позволил разработчикам продемонстрировать свои таланты, легко разрабатывая и обмениваясь кодом. В конце концов, можно твердо заявить, что и Git, и GitHub извлекли выгоду из роста друг друга и стали ведущей в мире платформой для разработки программного обеспечения.
Подписывайтесь на наш Telegram-канал и получайте актуальную информацию из мира новостей еще быстрее.
Источник: tempting.pro