GITHUB‑РЕПОЗИТОРИЙ И ОРГАНИЗАЦИЯ БЕЗ РИСКА 🔐🐙 Хотите купить код или продать проект и не остаться без денег/доступов? Разбираем рабочий

GITHUB‑РЕПОЗИТОРИЙ И ОРГАНИЗАЦИЯ БЕЗ РИСКА 🔐🐙 Хотите купить код или продать проект и не остаться без денег/доступов? Разбираем рабочий протокол через эскроу, понятный новичкам и полезный профи.

<b>Что на самом деле «продаётся»</b>

— Права на <b>репозиторий</b> или <b>организацию</b>: владельцы, биллинг, приватность.

— Все «хвосты»: секреты и токены, вебхуки, GitHub Apps, deploy‑keys, Actions, окружения, self‑hosted runners.

<b>Где чаще всего ломается сделка</b>

— Продавец оставляет скрытые доступы (PAT, deploy‑key, webhook) и может забрать код.

— Передача без 2FA и без логов — спор «слово против слова».

— Смена реквизитов оплаты «в последний момент» и «скрин перевода» вместо факта.

<b>Как оформить через эскроу — шаг за шагом</b>

1) В едином чате фиксируем: <b>объект</b> (repo/org), цену, сеть и адреса, источник курса, дедлайны, кто платит комиссии, <b>критерии приёмки</b>.

2) Покупатель депонирует оплату у нейтрального гаранта — реквизиты после депозита не меняются.

3) Продавец подтверждает контроль: включает 2FA, ставит код‑фразу в README/Description и добавляет покупателя в Owners/Administrators.

4) <b>Гигиена доступа</b> перед transfer: удаляем/обнуляем Secrets, PAT, deploy‑keys, Webhooks, GitHub Apps, отключаем сторонние интеграции, переносим биллинг.

5) Продавец инициирует <b>transfer</b> (repo → новому владельцу / org → передача Owner). Покупатель принимает.

6) Гарант сверяет события и права (аудит‑логи, списки владельцев/ключей) → релиз средств. Спор — арбитраж по фактам и скринкасту «одним дублем».

<b>Чек‑лист покупателя перед релизом</b>

— Owners/Administrators: только ваши аккаунты с включённой 2FA.

— Settings: Branch protection, Environments, Secrets — чисто; Actions выполняются; webhooks уместны.

— Packages/Containers, Releases, Wiki, Discussions — сохранены и доступны.

— Вы — владелец биллинга; отключены чужие runners и интеграции.

<b>Усилители безопасности</b>

— Для крупных сумм: мультиподпись 2 из 3 (Покупатель + Продавец + Гарант), timelock 24–72 часа и holdback 5–10% на пост‑чек.

— Подписи читаемых сообщений о владении и условиях сделки; логирование ключевых шагов.

<b>Красные флаги</b>

— Оплата «мимо» гаранта, отсутствие 2FA, отказ показать Owners/аудит‑лог, внезапная смена сети/адреса, «скрин перевода» вместо TXID.

<b>Полезные материалы</b>

• GitHub Docs — передача репозитория: https://docs.github.com/ru/repositories/creating-and-managing-repositories/transferring-a-repository

• GitHub Docs — роли и владельцы организации: https://docs.github.com/ru/organizations/managing-user-access-to-your-organizations-repositories/roles-in-an-organization

• GitHub Docs — аудит‑лог организации: https://docs.github.com/ru/enterprise-cloud@latest/organizations/keeping-your-organization-secure/reviewing-the-audit-log-for-your-organization

<b>Наши ресурсы</b>

• Сайт сервиса: https://guarantor.su

• Telegram‑бот: @GARANT_S_bot

<b>Итог</b>

Эскроу фиксирует правила и выпускает деньги только по фактам: сначала 2FA и проверяемая передача прав, затем релиз. Так код и оплата встречаются без сюрпризов.

Какой пункт чек‑листа вы считаете обязательным при покупке репозитория или организации: аудит‑лог, чистка секретов, защита веток, holdback? Делитесь опытом и задавайте вопросы — соберём для вас понятный регламент и сопроводим сделку.