GitHub har frigivet en række regelændringer, der primært definerer politikken vedrørende placeringen af udnyttelser og resultaterne af malwareundersøgelsesamt overholdelse af gældende amerikansk lov om ophavsret.
I offentliggørelsen af de nye politikopdateringer nævner de, at de fokuserer på forskellen mellem aktivt skadeligt indhold, som ikke er tilladt på platformen, og kode i hvile til støtte for sikkerhedsforskning, hvilket er velkomment og anbefales.
Disse opdateringer fokuserer også på at fjerne tvetydighed i den måde, vi bruger udtryk som "udnytte", "malware" og "levering" for at fremme klarhed i vores forventninger og intentioner. Vi har åbnet en pull-anmodning om offentlig kommentar og inviterer sikkerhedsforskere og -udviklere til at samarbejde med os om disse afklaringer og hjælpe os med bedre at forstå samfundets behov.
Blandt de ændringer, vi kan finde, er følgende betingelser blevet føjet til DMCA-reglerne, ud over det tidligere nuværende distributionsforbud og garanterer installation eller levering af aktiv malware og udnyttelse:
Eksplicit forbud mod at placere teknologier i arkivet for at omgå tekniske beskyttelsesmidler ophavsret, herunder licensnøgler samt programmer til generering af nøgler, springning af nøglebekræftelse og forlængelse af den gratis arbejdstid.
På dette nævnes det, at proceduren indføres for at præsentere en anmodning om eliminering af nævnte kode. Sletningsansøgeren skal give tekniske detaljer, med den erklærede hensigt om at indsende ansøgningen om gennemgang inden låsningen.
Ved at blokere lageret lover de at give mulighed for at eksportere problemer og PR og tilbyde juridiske tjenester.
Ændringerne af udnyttelses- og malware-politikkerne afspejler kritik efter Microsofts fjernelse af en prototype, Microsoft Exchange-udnyttelse, der blev brugt til at udføre angreb. De nye regler forsøger eksplicit at adskille det farlige indhold, der bruges til at udføre aktive angreb, fra den kode, der ledsager sikkerhedsundersøgelsen. Ændringer foretaget:
Ikke kun angreb på GitHub-brugere er forbudt at offentliggøre indhold med udnyttelser eller bruge GitHub som et køretøj til udnyttelse af levering, som det var før, men også offentliggøre ondsindet kode og udnyttelser, der ledsager aktive angreb. Generelt er det ikke forbudt at offentliggøre eksempler på udnyttelser, der er udviklet i løbet af sikkerhedsundersøgelser, og som påvirker sårbarheder, der allerede er rettet, men det afhænger alt af, hvordan udtrykket "aktive angreb" fortolkes.
For eksempel udsendes enhver form for JavaScript-kildekode, der angriber browseren, under disse kriterier: angriberen forhindrer ikke angriberen i at downloade kildekoden til offerets browser ved at søge og lapper automatisk, om udnyttelsesprototypen, den er offentliggjort i en ubrugelig form, og køre den.
Det samme gælder enhver anden kode, for eksempel i C ++: intet forhindrer det i at kompilere og køre på den angrebne maskine. Hvis der findes et lager med en sådan kode, er det planlagt ikke at slette det, men at lukke adgangen til det.
Ud over dette blev det tilføjet:
- En klausul, der forklarer muligheden for at indgive en appel i tilfælde af uenighed med blokaden.
- Et krav til ejere af arkiver, der hoster potentielt farligt indhold som en del af sikkerhedsundersøgelser. Tilstedeværelsen af sådant indhold skal udtrykkeligt nævnes i begyndelsen af README.md-filen, og kontaktoplysningerne til kommunikationen skal angives i filen SECURITY.md.
Det anføres, at GitHub generelt ikke fjerner offentliggjorte udnyttelser sammen med sikkerhedsundersøgelser for allerede afslørede sårbarheder (ikke dag 0), men forbeholder sig muligheden for at begrænse adgangen, hvis den føler, at der stadig er en risiko for at bruge disse i drift og den virkelige verden angreb udnytter GitHub support har modtaget klager over brugen af kode til angreb.
Ændringerne er stadig i kladdestatus, tilgængelige for diskussion i 30 dage.
kilde: https://github.blog/