Το GitHub κυκλοφόρησε μια σειρά αλλαγών κανόνα, ορίζοντας κυρίως την πολιτική σχετικά με τη θέση των εκμεταλλεύσεων και τα αποτελέσματα της έρευνας κακόβουλου λογισμικούκαθώς και συμμόρφωση με τον ισχύοντα νόμο περί πνευματικών δικαιωμάτων στις ΗΠΑ.
Στη δημοσίευση των νέων ενημερώσεων πολιτικής, αναφέρουν ότι επικεντρώνονται στη διαφορά μεταξύ ενεργά επιβλαβούς περιεχομένου, το οποίο δεν επιτρέπεται στην πλατφόρμα, και κώδικα σε κατάσταση ηρεμίας για την υποστήριξη της έρευνας ασφάλειας, κάτι που είναι ευπρόσδεκτο και συνιστάται.
Αυτές οι ενημερώσεις εστιάζονται επίσης στην άρση της ασάφειας στον τρόπο με τον οποίο χρησιμοποιούμε όρους όπως "εκμετάλλευση", "κακόβουλο λογισμικό" και "παράδοση" για την προώθηση της σαφήνειας των προσδοκιών και των προθέσεων μας. Έχουμε ανοίξει ένα αίτημα έλξης για δημόσια σχόλια και προσκαλούμε ερευνητές ασφαλείας και προγραμματιστές να συνεργαστούν μαζί μας σε αυτές τις διευκρινίσεις και να μας βοηθήσουν να κατανοήσουμε καλύτερα τις ανάγκες της κοινότητας.
Μεταξύ των αλλαγών που μπορούμε να βρούμε, οι ακόλουθοι όροι έχουν προστεθεί στους κανόνες συμμόρφωσης DMCA, εκτός από την προηγούμενη απαγόρευση διανομής και εγγύησης της εγκατάστασης ή παράδοσης ενεργών κακόβουλων προγραμμάτων και εκμεταλλεύσεων:
Ρητή απαγόρευση τοποθέτησης τεχνολογιών στο αποθετήριο για παράκαμψη τεχνικών μέσων προστασίας πνευματικά δικαιώματα, συμπεριλαμβανομένων των κλειδιών άδειας, καθώς και προγράμματα για τη δημιουργία κλειδιών, παράλειψη επαλήθευσης κλειδιού και παράταση της δωρεάν περιόδου εργασίας.
Σε αυτό αναφέρεται ότι η διαδικασία εισάγεται για την υποβολή αίτησης για την εξάλειψη του εν λόγω κώδικα. Ο αιτών διαγραφής πρέπει να παρέχει τεχνικές λεπτομέρειες, με την δηλωμένη πρόθεση υποβολής της αίτησης για έλεγχο πριν από το κλείδωμα.
Αποκλείοντας το αποθετήριο, υπόσχονται να παρέχουν τη δυνατότητα εξαγωγής ζητημάτων και δημοσίων σχέσεων και να προσφέρουν νομικές υπηρεσίες.
Οι αλλαγές στην πολιτική εκμετάλλευσης και κακόβουλου λογισμικού αντικατοπτρίζουν την κριτική μετά την κατάργηση της Microsoft ενός πρωτοτύπου Microsoft Exchange exploit που χρησιμοποιείται για τη διεξαγωγή επιθέσεων. Οι νέοι κανόνες προσπαθούν να διαχωρίσουν ρητά το επικίνδυνο περιεχόμενο που χρησιμοποιείται για την πραγματοποίηση ενεργών επιθέσεων από τον κώδικα που συνοδεύει την έρευνα ασφαλείας. Αλλαγές που έγιναν:
Απαγορεύεται όχι μόνο η επίθεση σε χρήστες του GitHub δημοσίευση περιεχομένου με εκμεταλλεύσεις ή χρήση του GitHub ως οχήματος παράδοσης εκμετάλλευσης, όπως ήταν πριν, αλλά επίσης δημοσιεύστε κακόβουλο κώδικα και εκμεταλλεύσεις που συνοδεύουν ενεργές επιθέσεις. Γενικά, δεν απαγορεύεται η δημοσίευση παραδειγμάτων εκμεταλλεύσεων που αναπτύχθηκαν κατά τη διάρκεια μελετών ασφαλείας και που επηρεάζουν τις ευπάθειες που έχουν ήδη διορθωθεί, αλλά όλα εξαρτώνται από τον τρόπο ερμηνείας του όρου «ενεργές επιθέσεις».
Για παράδειγμα, η δημοσίευση σε οποιαδήποτε μορφή πηγαίου κώδικα JavaScript που επιτίθεται στο πρόγραμμα περιήγησης εμπίπτει σε αυτά τα κριτήρια: ο εισβολέας δεν εμποδίζει τον εισβολέα να κατεβάσει τον πηγαίο κώδικα στο πρόγραμμα περιήγησης του θύματος πραγματοποιώντας αναζήτηση, επιδιορθώνοντας αυτόματα εάν το πρωτότυπο εκμετάλλευσης δημοσιεύεται σε άχρηστη φόρμα και την εκτέλεση.
Το ίδιο ισχύει και για οποιονδήποτε άλλο κώδικα, για παράδειγμα στο C ++: τίποτα δεν το εμποδίζει να μεταγλωττιστεί και να τρέξει στον επιτιθέμενο υπολογιστή. Εάν βρεθεί ένα αποθετήριο με τέτοιο κώδικα, σχεδιάζεται να μην το διαγράψετε, αλλά να κλείσετε την πρόσβαση σε αυτόν.
Εκτός από αυτό, προστέθηκε:
- Μια ρήτρα που εξηγεί τη δυνατότητα υποβολής έφεσης σε περίπτωση διαφωνίας με τον αποκλεισμό.
- Απαίτηση για τους κατόχους αποθετηρίων που φιλοξενούν δυνητικά επικίνδυνο περιεχόμενο ως μέρος της έρευνας ασφάλειας. Η παρουσία τέτοιου περιεχομένου πρέπει να αναφέρεται ρητά στην αρχή του αρχείου README.md και τα στοιχεία επικοινωνίας για την επικοινωνία πρέπει να παρέχονται στο αρχείο SECURITY.md.
Αναφέρεται ότι το GitHub γενικά δεν αφαιρεί τα δημοσιευμένα ευρήματα μαζί με μελέτες ασφαλείας για ευπάθειες που έχουν ήδη αποκαλυφθεί (όχι την ημέρα 0), αλλά διατηρεί τη δυνατότητα να περιορίσει την πρόσβαση εάν πιστεύει ότι εξακολουθεί να υπάρχει κίνδυνος χρήσης αυτών των εν υπηρεσία exploits exploits Η υποστήριξη του GitHub έχει λάβει καταγγελίες σχετικά με τη χρήση κώδικα για επιθέσεις.
Οι αλλαγές είναι ακόμη σε κατάσταση πρόχειρου, διαθέσιμες για συζήτηση για 30 ημέρες.
πηγή: https://github.blog/