GitHub on välja andnud hulga reeglimuudatusi, määratledes peamiselt poliitikat ekspluateerimise asukoha ja pahavara uurimise tulemuste kohtasamuti kehtiva USA autoriõiguse seaduse järgimine.
Uute poliitikavärskenduste väljaandes mainivad nad, et keskenduvad erinevusele aktiivselt kahjuliku sisu osas, mis pole platvormil lubatud, ja turvalisuse uuringute toetuseks puhkeolekus koodile, mis on teretulnud ja soovitatav.
Need värskendused keskenduvad ka ebaselguse kõrvaldamisele selles, kuidas kasutame oma ootuste ja kavatsuste selguse huvides selliseid termineid nagu "ärakasutamine", "pahavara" ja "edastamine". Oleme avanud avaliku kommentaari taotlemise ja kutsunud turvauurijaid ja arendajaid meiega nende selgituste osas koostööd tegema ning aitama meil paremini mõista kogukonna vajadusi.
Leitud muudatuste hulgas on DMCA vastavusreeglitele lisaks varasemale levitamise keelule ning aktiivse pahavara ja ärakasutamise installimise või edastamise tagamisele lisatud järgmised tingimused:
Selge keeld keelata tehnoloogiate paigutamine hoidlasse, et vältida tehnilisi kaitsevahendeid autoriõigus, sealhulgas litsentsivõtmed, samuti võtmete genereerimise, võtmete kinnitamise vahelejätmise ja tasuta tööperioodi pikendamise programmid.
Selle kohta mainitakse, et nimetatud koodi kõrvaldamise taotluse esitamise menetlus on sisse viidud. Kustutamise taotleja peab esitama tehnilised üksikasjad, kavatsusega esitada taotlus läbivaatamiseks enne sulgemist.
Hoidla blokeerimisega lubavad nad pakkuda võimalust eksportida probleeme ja avalikke suhteid ning pakkuda õigusteenuseid.
Kasutamis- ja pahavarapoliitika muudatused peegeldavad kriitikat pärast Microsofti rünnakute läbiviimiseks kasutatud Microsoft Exchange'i prototüübi eemaldamist. Uued reeglid püüavad aktiivsete rünnakute läbiviimiseks kasutatud ohtlikku sisu sõnaselgelt eraldada turvajuurdlusega kaasnevast koodist. Tehtud muudatused:
Keelatud on mitte ainult GitHubi kasutajate ründamine sisu avaldamine koos ekspluateerimisega või GitHubi kasutamine ekspluateerimise vahendina, nagu see oli varem, kuid avaldab ka aktiivsete rünnakutega kaasneva pahatahtliku koodi ja ärakasutamise. Üldiselt pole keelatud avaldada näiteid turvauuringute käigus väljatöötatud ekspluateerimistest, mis mõjutavad juba fikseeritud haavatavusi, kuid kõik sõltub sellest, kuidas mõistet "aktiivsed rünnakud" tõlgendatakse.
Näiteks kuulub mis tahes brauserit rünnava JavaScripti lähtekoodi postitamine selle kriteeriumi alla: ründaja ei takista ründajat otsingu abil lähtekoodi ohvri brauserisse laadimast, parandades automaatselt, kas selle eksplotatsiooni prototüüp on avaldatud kasutamiskõlbmatus vorm ja selle käivitamine.
Sama kehtib ka kõigi teiste koodide kohta, näiteks C ++ puhul: miski ei takista seda kompileerimast ja rünnatud masinas töötamist. Kui leitakse sellise koodiga hoidla, plaanitakse seda mitte kustutada, vaid sulgeda juurdepääs sellele.
Lisaks sellele lisati:
- Klausel, mis selgitab apellatsiooni esitamise võimalust blokaadiga mittenõustumise korral.
- Nõue turvauuringute raames potentsiaalselt ohtlikku sisu majutavate hoidlate omanikele. Sellise sisu olemasolu tuleb sõnaselgelt mainida faili README.md alguses ja suhtluse kontaktandmed tuleb esitada failis SECURITY.md.
Väidetavalt ei eemalda GitHub avaldatud ekspluateerimisi koos juba avaldatud haavatavuste turvauuringutega (mitte 0. päev), kuid jätab endale võimaluse juurdepääsu piirata, kui ta arvab, et nende teenusepakkujate ja tegelike rünnakutega on endiselt oht GitHubi tugiteenused on saanud kaebusi rünnakute koodi kasutamise kohta.
Muudatused on endiselt mustandi olekus ja on arutamiseks saadaval 30 päeva.
allikas: https://github.blog/