GitHub reforç les regles per publicar resultats d'investigació de seguretat

Logotip de GitHub

GitHub ha publicat una sèrie de canvis a les regles, definint principalment la política pel que fa a la ubicació d'exploits i els resultats de la investigació de malware, així com el compliment de l'actual Llei de drets d'autor dels EUA.

En la publicació de les noves actualitzacions de les polítiques, esmenten que stas se centren en la diferència entre contingut activament perjudicial, que no està permès a la plataforma i codi en repòs en suport de la investigació de seguretat, que és benvingut i recomanat .

Aquestes actualitzacions també se centren a eliminar l'ambigüitat en la manera com fem servir termes com exploit, malware i entrega per promoure la claredat de les nostres expectatives i intencions. Hem obert una sol·licitud d'extracció per a comentaris públics i convidem els investigadors i desenvolupadors de seguretat a col·laborar amb nosaltres en aquests aclariments i ajudar-nos a comprendre millor les necessitats de la comunitat.

Dins dels canvis que podrem trobar, s'han afegit les següents condicions a les regles de compliment de la DMCA, a més de la prohibició de distribució prèviament present i garantir la instal·lació o lliurament de codi maliciós i exploits actius:

Prohibició explícita de col·locar tecnologies al repositori per eludir els mitjans tècnics de protecció dels drets dautor, incloses les claus de llicència, així com els programes per generar claus, ometre la verificació de claus i estendre el període lliure de treball.

Sobre això s'esmenta que s'està introduint el procediment per presentar una sol·licitud d'eliminació del codi. El sol·licitant de l'eliminació ha de proporcionar detalls tècnics, amb la intenció declarada d'enviar la sol·licitud per examen abans del bloqueig.
En bloquejar el repositori, prometen proporcionar la capacitat d'exportar problemes i relacions públiques i oferir serveis legals.
Els canvis en la política d'exploits i codi maliciós (malware) reflecteixen crítiques després de l'eliminació per part de Microsoft d'un prototip d'exploit de Microsoft Exchange utilitzat per dur a terme atacs. Les noves regles intenten separar explícitament el contingut perillós utilitzat per dur a terme atacs actius del codi que acompanya la investigació de seguretat. Canvis realitzats:

Està prohibit no només atacar els usuaris de GitHub publicant contingut amb exploits o utilitzar GitHub com a vehicle de lliurament d'exploits, com estava abans, sinó també publicar codi maliciós i exploits que acompanyen els atacs actius. En general, no està prohibit publicar exemples d'exploits elaborats en els estudis de seguretat i que afectin vulnerabilitats ja solucionades, però tot dependrà de com s'interpreti el terme «atacs actius».

Per exemple, la publicació en qualsevol forma de codi font de JavaScript que ataca el navegador cau sota aquest criteri: l'atacant no evita que l'atacant descarregui el codi font al navegador de la víctima mitjançant la cerca, pegat automàticament si el prototip d'exploit es publica en una forma inutilitzable, i executant-ho.

El mateix passa amb qualsevol altre codi, per exemple, a C++: res impedeix que es compile i executi a la màquina atacada. Si es troba un repositori amb aquest codi, es planeja no eliminar-lo, sinó tancar-hi l'accés.

A més d'això, es va afegir:

  • Una clàusula que explica la possibilitat de presentar un recurs en cas de desacord amb el bloqueig.
  • Un requisit per als propietaris de repositoris que allotgen contingut potencialment perillós com a part de la investigació de seguretat. La presència d'aquest contingut s'ha d'esmentar explícitament al principi del fitxer README.md, i els detalls de contacte per a la comunicació s'han de proporcionar al fitxer SECURITY.md.

S'afirma que, en general, GitHub no elimina els exploits publicats juntament amb els estudis de seguretat per a les vulnerabilitats ja divulgades (no el dia 0), però es reserva la capacitat de restringir l'accés si considera que encara hi ha risc d'usar aquests exploits per a atacs reals i al servei El suport de GitHub ha rebut queixes sobre l'ús de codi per a atacs.

Els canvis encara estan en estat esborrany, disponibles per a discussió durant 30 dies.

font: https://github.blog/


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.