أصدر GitHub عددًا من تغييرات القواعد، تحديد السياسة بشكل أساسي فيما يتعلق بموقع عمليات الاستغلال ونتائج التحقيق في البرامج الضارةبالإضافة إلى الامتثال لقانون حقوق النشر الأمريكية الحالي.
في نشر تحديثات السياسة الجديدة ، ذكروا أنهم يركزون على الفرق بين المحتوى الضار بشكل نشط ، وهو غير مسموح به على النظام الأساسي ، والتعليمات البرمجية غير النشطة لدعم البحث الأمني ، وهو أمر مرحب به ويوصى به.
تركز هذه التحديثات أيضًا على إزالة الغموض في طريقة استخدامنا لمصطلحات مثل "استغلال" و "برامج ضارة" و "تسليم" لتعزيز وضوح توقعاتنا ونوايانا. لقد فتحنا طلب سحب للتعليق العام وندعو الباحثين والمطورين الأمنيين للتعاون معنا في هذه التوضيحات ومساعدتنا على فهم احتياجات المجتمع بشكل أفضل.
من بين التغييرات التي يمكننا العثور عليها ، تمت إضافة الشروط التالية إلى قواعد الامتثال لقانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية ، بالإضافة إلى الحظر الحالي للتوزيع وضمان تثبيت أو تسليم البرامج الضارة والمآثر النشطة:
حظر صريح لوضع تقنيات في المستودع للتحايل على وسائل الحماية التقنية حقوق النشر ، بما في ذلك مفاتيح الترخيص ، وكذلك برامج إنشاء المفاتيح ، وتخطي التحقق من المفاتيح ، وتمديد فترة العمل المجاني.
في هذا الصدد ، يُذكر أنه يتم تقديم الإجراء لتقديم طلب لإزالة القانون المذكور. يجب على مقدم طلب الحذف تقديم التفاصيل الفنية ، بقصد تقديم الطلب للمراجعة قبل الإغلاق.
من خلال حجب المستودع ، فإنهم يعدون بتوفير القدرة على تصدير القضايا والعلاقات العامة ، وتقديم الخدمات القانونية.
تعكس التغييرات في سياسة البرامج الضارة والاستغلال الانتقادات التي أعقبت قيام Microsoft بإزالة النموذج الأولي الذي تستخدمه Microsoft Exchange في تنفيذ الهجمات. تحاول القواعد الجديدة الفصل صراحةً بين المحتوى الخطير المستخدم في تنفيذ هجمات نشطة عن الكود المصاحب للتحقيق الأمني. التغييرات التي تم إجراؤها:
لا يُحظر فقط مهاجمة مستخدمي GitHub نشر محتوى به ثغرات أو استخدام GitHub كوسيلة لتسليم الاستغلال ، كما كان من قبل ، ولكن أيضًا تنشر التعليمات البرمجية الخبيثة وعمليات الاستغلال التي تصاحب الهجمات النشطة. بشكل عام ، لا يُحظر نشر أمثلة على برمجيات إكسبلويت التي تم تطويرها في سياق الدراسات الأمنية والتي تؤثر على الثغرات التي تم إصلاحها بالفعل ، ولكن كل ذلك سيعتمد على كيفية تفسير مصطلح "الهجمات النشطة".
على سبيل المثال ، يندرج النشر بأي شكل من أشكال كود مصدر JavaScript الذي يهاجم المتصفح ضمن هذه المعايير: لا يمنع المهاجم المهاجم من تنزيل شفرة المصدر إلى متصفح الضحية من خلال البحث ، وتصحيح ما إذا كان نموذج الاستغلال الأولي تم نشره في شكل غير صالح للاستعمال وتشغيله.
ينطبق الأمر نفسه على أي رمز آخر ، على سبيل المثال في C ++: لا شيء يمنعه من التجميع والتشغيل على الجهاز المهاجم. إذا تم العثور على مستودع بهذا الرمز ، فمن المخطط عدم حذفه ، ولكن لإغلاق الوصول إليه.
بالإضافة إلى ذلك ، تمت إضافة:
- بند يشرح إمكانية تقديم استئناف في حالة الاختلاف مع الحصار.
- شرط لمالكي المستودعات الذين يستضيفون محتوى يحتمل أن يكون خطيرًا كجزء من البحث الأمني. يجب ذكر وجود مثل هذا المحتوى بشكل صريح في بداية ملف README.md ، ويجب تقديم تفاصيل الاتصال الخاصة بالاتصال في ملف SECURITY.md.
يُذكر أن GitHub بشكل عام لا تزيل عمليات الاستغلال المنشورة جنبًا إلى جنب مع الدراسات الأمنية الخاصة بالثغرات التي تم الكشف عنها بالفعل (ليس اليوم 0) ، ولكنها تحتفظ بالقدرة على تقييد الوصول إذا شعرت أنه لا يزال هناك خطر من استخدام هذه البرامج داخل الخدمة وفي العالم الحقيقي ثغرات الهجوم تلقى دعم GitHub شكاوى حول استخدام رمز للهجمات.
التغييرات لا تزال في حالة المسودة ، متاحة للمناقشة لمدة 30 يوما.
مصدر: https://github.blog/