GitHub hat eine Reihe von Regeländerungen veröffentlicht, hauptsächlich die Politik zu definieren in Bezug auf den Ort der Exploits und die Ergebnisse der Malware-Untersuchungsowie die Einhaltung des aktuellen US-amerikanischen Urheberrechts.
In der Veröffentlichung der neuen Richtlinienaktualisierungen wird erwähnt, dass sie sich auf den Unterschied zwischen aktiv schädlichen Inhalten, die auf der Plattform nicht zulässig sind, und ruhendem Code zur Unterstützung der Sicherheitsforschung konzentrieren, was zu begrüßen und zu empfehlen ist.
Diese Updates konzentrieren sich auch darauf, Unklarheiten in der Art und Weise zu beseitigen, wie wir Begriffe wie "Exploit", "Malware" und "Delivery" verwenden, um die Klarheit unserer Erwartungen und Absichten zu fördern. Wir haben eine Pull-Anfrage für öffentliche Kommentare geöffnet und Sicherheitsforscher und -entwickler eingeladen, mit uns an diesen Klarstellungen zusammenzuarbeiten und uns dabei zu helfen, die Bedürfnisse der Community besser zu verstehen.
Unter den Änderungen, die wir finden können, wurden zusätzlich zu dem zuvor geltenden Verbreitungsverbot und der Gewährleistung der Installation oder Bereitstellung von aktiver Malware und Exploits die folgenden Bedingungen zu den DMCA-Konformitätsregeln hinzugefügt:
Explizites Verbot, Technologien in das Endlager zu stellen, um technische Schutzmaßnahmen zu umgehen Urheberrecht, einschließlich Lizenzschlüssel, sowie Programme zum Generieren von Schlüsseln, Überspringen der Schlüsselüberprüfung und Verlängern der freien Arbeitszeit.
Hierzu wird erwähnt, dass das Verfahren eingeführt wird, um einen Antrag auf Beseitigung des Codes zu stellen. Der Löschantragsteller muss technische Angaben machen, mit der erklärten Absicht, den Antrag zur Überprüfung vor der Sperrung einzureichen.
Durch die Blockierung des Repositorys versprechen sie, die Möglichkeit zu bieten, Probleme und Öffentlichkeitsarbeit zu exportieren und juristische Dienstleistungen anzubieten.
Die Änderungen der Exploit- und Malware-Richtlinien spiegeln Kritik wider, nachdem Microsoft einen Prototyp eines Microsoft Exchange-Exploits entfernt hat, der zur Durchführung von Angriffen verwendet wird. Die neuen Regeln versuchen, den gefährlichen Inhalt, der zur Durchführung aktiver Angriffe verwendet wird, explizit vom Code zu trennen, der die Sicherheitsuntersuchung begleitet. Änderungen vorgenommen:
Es ist nicht nur verboten, GitHub-Benutzer anzugreifen Veröffentlichen von Inhalten mit Exploits oder Verwenden von GitHub als Exploit-Übermittlungsvehikel, wie zuvor Veröffentlichen Sie aber auch bösartigen Code und Exploits, die mit aktiven Angriffen einhergehen. Im Allgemeinen ist es nicht verboten, Beispiele für Exploits zu veröffentlichen, die im Rahmen von Sicherheitsstudien entwickelt wurden und die bereits behobene Sicherheitslücken betreffen. Dies hängt jedoch davon ab, wie der Begriff "aktive Angriffe" interpretiert wird.
Das Posten in einer Form von JavaScript-Quellcode, der den Browser angreift, fällt beispielsweise unter dieses Kriterium: Der Angreifer hindert den Angreifer nicht daran, den Quellcode durch Suchen in den Browser des Opfers herunterzuladen, und patcht automatisch, ob der Exploit-Prototyp, in dem er veröffentlicht wurde unbrauchbare Form, und es ausführen.
Das Gleiche gilt für jeden anderen Code, zum Beispiel in C ++: Nichts hindert ihn daran, auf dem angegriffenen Computer zu kompilieren und auszuführen. Wenn ein Repository mit einem solchen Code gefunden wird, ist geplant, ihn nicht zu löschen, sondern den Zugriff darauf zu schließen.
Darüber hinaus wurde hinzugefügt:
- Eine Klausel, die die Möglichkeit erklärt, bei Nichtübereinstimmung mit der Blockade Berufung einzulegen.
- Eine Anforderung für Repository-Besitzer, die potenziell gefährliche Inhalte im Rahmen der Sicherheitsforschung hosten. Das Vorhandensein solcher Inhalte muss am Anfang der Datei README.md ausdrücklich erwähnt werden, und die Kontaktdaten für die Kommunikation müssen in der Datei SECURITY.md angegeben werden.
Es wird angegeben, dass GitHub veröffentlichte Exploits zusammen mit Sicherheitsstudien für bereits offenbarte Sicherheitslücken (nicht Tag 0) im Allgemeinen nicht entfernt, sich jedoch die Möglichkeit vorbehält, den Zugriff einzuschränken, wenn das Risiko besteht, dass diese In-Service- und realen Anwendungen verwendet werden Angriffs-Exploits Der GitHub-Support hat Beschwerden über die Verwendung von Code für Angriffe erhalten.
Die Änderungen befinden sich noch im Entwurfsstatus und können 30 Tage lang diskutiert werden.
Quelle: https://github.blog/