GitHub-ek segurtasun ikerketaren emaitzak argitaratzeko arauak betetzen ditu

GitHub logotipoa

GitHub-ek arau aldaketa ugari kaleratu ditu, batez ere politika zehaztea ustiapenen kokapenari eta malware ikerketaren emaitzei buruzkoabaita AEBetako indarreko copyright legea betetzea ere.

Politiken eguneratze berriak argitaratzean, plataforman baimenduta ez dagoen eduki kaltegarri aktiboaren eta gainerakoan segurtasun ikerketen aldeko kodearen arteko aldean jartzen dutela arreta eta gomendatzen dute.

Eguneratze hauek "ustiatzea", "malwarea" eta "entrega" bezalako terminoak gure itxaropen eta asmoen argitasuna sustatzeko bezalako anbiguotasunak kentzera ere bideratzen dira. Iruzkin publikoak egiteko eskaera zabaldu dugu eta segurtasuneko ikertzaile eta garatzaileei gonbidapena egin diegu argibide horietan gurekin lankidetzan aritzeko eta komunitatearen beharrak hobeto ulertzen laguntzeko.

Aurkitu ditzakegun aldaketen artean, honako baldintza hauek gehitu dira DMCA betetze arauetan, aurretik banatu zen debekuaz gain eta malware aktiboen eta ustiapenen instalazioa edo entrega bermatzeaz gain:

Teknologiak biltegian jartzeko debeku esplizitua, babeserako bide teknikoak saihesteko copyrighta, lizentzia gakoak barne, baita gakoak sortzeko, gakoen egiaztapena saltatzeko eta doako lanaldia luzatzeko programak ere.

Horri buruz, aipatutako kodea ezabatzeko eskaera aurkezteko prozedura hasten dela aipatzen da. Ezabatzeko eskatzaileak xehetasun teknikoak eman behar ditu. itxi aurretik berrikusteko eskaera aurkezteko asmoarekin.
Biltegia blokeatuz, gaiak eta harreman publikoak esportatzeko gaitasuna eta zerbitzu juridikoak eskainiko dituztela agintzen dute.
Malwarea eta ustiatzeko gidalerroen aldaketak kritikak islatzen ditu Microsoft-ek erasoak egiteko erabilitako Microsoft Exchange ustiapen prototipoa kendu ondoren. Arau berriak eraso aktiboak burutzeko erabilitako eduki arriskutsua segurtasun ikerketarekin batera datorren kodetik bereizten saiatzen dira. Egindako aldaketak:

Debekatuta dago GitHub erabiltzaileei erasotzeaz gain edukia baliabidearekin argitaratzea edo GitHub baliatzea entregatzeko ibilgailu gisa erabiltzea, lehen bezala, baina baita eraso aktiboekin lotutako kode maltzurrak eta ustiaketak argitaratzen ere. Orokorrean, ez dago debekatuta segurtasun azterketetan garatutako eta lehendik konpondu diren ahultasunetan eragina duten ustiapenen adibideak argitaratzea, baina "eraso aktibo" terminoa nola interpretatzen denaren araberakoa izango da.

Adibidez, arakatzaileari eraso egiten dion JavaScript iturburu kodearen edozein modutan argitaratzea irizpide honen mende dago: erasotzaileak ez dio erasotzaileari iturburu kodea biktimaren arakatzailera deskargatzea eragozten, bilaketak automatikoki adabakia egiten duen esplotazio prototipoa erabili ezin den forma, eta exekutatzen.

Gauza bera gertatzen da beste edozein koderekin, adibidez C ++-en: ezerk ez du eragotzi erasotako makinan biltzea eta exekutatzea. Kode hori duen biltegi bat aurkitzen bada, ezabatzea aurreikusten da, baina sarbidea ixtea.

Honetaz gain, gehitu zen:

  • Blokeoarekin desadostasunik izanez gero helegitea aurkezteko aukera azaltzen duen klausula.
  • Segurtasun ikerketen barruan eduki arriskutsua izan dezaketen biltegien jabeen baldintza. Eduki horien presentzia esplizituki aipatu behar da README.md fitxategiaren hasieran, eta komunikazioaren harremanetarako datuak SECURITY.md fitxategian eman behar dira.

Esaten da GitHub-ek orokorrean ez dituela argitaratutako baliarazpenak kentzen segurtasun azterketekin batera jadanik ezagutzera eman diren ahultasunetarako (ez da 0 eguna), baina sarbidea mugatzeko gaitasuna gordetzen du Zerbitzuan eta mundu errealean horiek erabiltzeko arriskua badagoela uste badu. erasoa ustiatzen du GitHub-en laguntzak kexak jaso ditu erasoetarako kodea erabiltzeagatik.

Aldaketak zirriborro egoeran daude, 30 egunez eztabaidagai egongo dira.

Fuente: https://github.blog/


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.