GitHub пусна редица промени в правилата, основно определящи политиката относно местоположението на експлойти и резултатите от разследване на злонамерен софтуеркакто и спазването на действащия закон за авторското право на САЩ.
В публикуването на новите актуализации на политиката те споменават, че се фокусират върху разликата между активно вредно съдържание, което не е разрешено на платформата, и код в покой в подкрепа на изследванията на сигурността, което е добре дошло и препоръчително.
Тези актуализации се фокусират и върху премахването на неяснотата в начина, по който използваме термини като „експлоатация“, „злонамерен софтуер“ и „доставка“, за да насърчим яснотата на нашите очаквания и намерения. Отворихме искане за публичен коментар и поканим изследователи и разработчици на сигурността да си сътрудничат с нас по тези разяснения и да ни помогнат да разберем по-добре нуждите на общността.
Сред промените, които можем да намерим, следните правила са добавени към правилата за спазване на DMCA, в допълнение към предишната забрана за разпространение и гарантираща инсталирането или доставката на активен злонамерен софтуер и експлойти:
Изрична забрана за поставяне на технологии в хранилището за заобикаляне на техническите средства за защита авторски права, включително лицензионни ключове, както и програми за генериране на ключове, пропускане на проверка на ключове и удължаване на безплатния период на работа.
По този въпрос се споменава, че се въвежда процедурата за представяне на искане за премахване на споменатия код. Кандидатът за заличаване трябва да предостави технически подробности, с декларираното намерение за подаване на заявлението за преглед преди заключването.
Чрез блокиране на хранилището те обещават да предоставят възможност за износ на въпроси и връзки с обществеността и предлагат правни услуги.
Промените в политиката за експлойт и злонамерен софтуер отразяват критики след премахването на прототип на Microsoft Exchange експлойт, използван за извършване на атаки. Новите правила се опитват изрично да отделят опасното съдържание, използвано за извършване на активни атаки, от кода, придружаващ разследването на сигурността. Направени промени:
Забранено е не само да се атакуват потребители на GitHub публикуване на съдържание с експлойти или използване на GitHub като средство за доставка на експлойти, както беше преди, но също така публикуват злонамерен код и експлойти, които придружават активни атаки. Като цяло не е забранено да се публикуват примери за експлойти, разработени в хода на проучванията за сигурност и които засягат уязвимости, които вече са били отстранени, но всичко ще зависи от това как се тълкува терминът "активни атаки".
Например публикуването на каквато и да е форма на изходния код на JavaScript, който атакува браузъра, попада под този критерий: нападателят не пречи на нападателя да изтегли изходния код в браузъра на жертвата чрез търсене, като автоматично коригира дали експлойт прототипът е публикуван в неизползваема и го стартирате.
Същото важи и за всеки друг код, например в C ++: нищо не му пречи да компилира и работи на атакуваната машина. Ако се намери хранилище с такъв код, се планира не да го изтриете, а да затворите достъпа до него.
В допълнение към това беше добавено:
- Клауза, която обяснява възможността за подаване на жалба в случай на несъгласие с блокадата.
- Изискване към собствениците на хранилища, хостващи потенциално опасно съдържание като част от проучване на сигурността. Наличието на такова съдържание трябва да бъде изрично упоменато в началото на файла README.md, а данните за контакт за комуникацията трябва да бъдат предоставени във файла SECURITY.md.
Посочва се, че GitHub обикновено не премахва публикувани експлойти, заедно с проучвания за сигурност за вече разкрити уязвимости (не ден 0), но запазва възможността да ограничи достъпа, ако смята, че все още съществува риск от използването на тези в експлоатация и в реалния свят атака експлоатира Поддръжката на GitHub получи жалби относно използването на код за атаки.
Промените все още са в статут на чернови, достъпни за обсъждане в продължение на 30 дни.
Fuente: https://github.blog/