GitHub håndhæver reglerne for offentliggørelse af sikkerhedsforskningsresultater

GitHub-logo

GitHub har frigivet en række regelændringer, der primært definerer politikken vedrørende placeringen af ​​udnyttelser og resultaterne af malwareundersøgelsesamt overholdelse af gældende amerikansk lov om ophavsret.

I offentliggørelsen af ​​de nye politikopdateringer nævner de, at de fokuserer på forskellen mellem aktivt skadeligt indhold, som ikke er tilladt på platformen, og kode i hvile til støtte for sikkerhedsforskning, hvilket er velkomment og anbefales.

Disse opdateringer fokuserer også på at fjerne tvetydighed i den måde, vi bruger udtryk som "udnytte", "malware" og "levering" for at fremme klarhed i vores forventninger og intentioner. Vi har åbnet en pull-anmodning om offentlig kommentar og inviterer sikkerhedsforskere og -udviklere til at samarbejde med os om disse afklaringer og hjælpe os med bedre at forstå samfundets behov.

Blandt de ændringer, vi kan finde, er følgende betingelser blevet føjet til DMCA-reglerne, ud over det tidligere nuværende distributionsforbud og garanterer installation eller levering af aktiv malware og udnyttelse:

Eksplicit forbud mod at placere teknologier i arkivet for at omgå tekniske beskyttelsesmidler ophavsret, herunder licensnøgler samt programmer til generering af nøgler, springning af nøglebekræftelse og forlængelse af den gratis arbejdstid.

På dette nævnes det, at proceduren indføres for at præsentere en anmodning om eliminering af nævnte kode. Sletningsansøgeren skal give tekniske detaljer, med den erklærede hensigt om at indsende ansøgningen om gennemgang inden låsningen.
Ved at blokere lageret lover de at give mulighed for at eksportere problemer og PR og tilbyde juridiske tjenester.
Ændringerne af udnyttelses- og malware-politikkerne afspejler kritik efter Microsofts fjernelse af en prototype, Microsoft Exchange-udnyttelse, der blev brugt til at udføre angreb. De nye regler forsøger eksplicit at adskille det farlige indhold, der bruges til at udføre aktive angreb, fra den kode, der ledsager sikkerhedsundersøgelsen. Ændringer foretaget:

Ikke kun angreb på GitHub-brugere er forbudt at offentliggøre indhold med udnyttelser eller bruge GitHub som et køretøj til udnyttelse af levering, som det var før, men også offentliggøre ondsindet kode og udnyttelser, der ledsager aktive angreb. Generelt er det ikke forbudt at offentliggøre eksempler på udnyttelser, der er udviklet i løbet af sikkerhedsundersøgelser, og som påvirker sårbarheder, der allerede er rettet, men det afhænger alt af, hvordan udtrykket "aktive angreb" fortolkes.

For eksempel udsendes enhver form for JavaScript-kildekode, der angriber browseren, under disse kriterier: angriberen forhindrer ikke angriberen i at downloade kildekoden til offerets browser ved at søge og lapper automatisk, om udnyttelsesprototypen, den er offentliggjort i en ubrugelig form, og køre den.

Det samme gælder enhver anden kode, for eksempel i C ++: intet forhindrer det i at kompilere og køre på den angrebne maskine. Hvis der findes et lager med en sådan kode, er det planlagt ikke at slette det, men at lukke adgangen til det.

Ud over dette blev det tilføjet:

  • En klausul, der forklarer muligheden for at indgive en appel i tilfælde af uenighed med blokaden.
  • Et krav til ejere af arkiver, der hoster potentielt farligt indhold som en del af sikkerhedsundersøgelser. Tilstedeværelsen af ​​sådant indhold skal udtrykkeligt nævnes i begyndelsen af ​​README.md-filen, og kontaktoplysningerne til kommunikationen skal angives i filen SECURITY.md.

Det anføres, at GitHub generelt ikke fjerner offentliggjorte udnyttelser sammen med sikkerhedsundersøgelser for allerede afslørede sårbarheder (ikke dag 0), men forbeholder sig muligheden for at begrænse adgangen, hvis den føler, at der stadig er en risiko for at bruge disse i drift og den virkelige verden angreb udnytter GitHub support har modtaget klager over brugen af ​​kode til angreb.

Ændringerne er stadig i kladdestatus, tilgængelige for diskussion i 30 dage.

kilde: https://github.blog/


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.