GitHub قوانینی را برای انتشار نتایج تحقیقات امنیتی اعمال می کند

آرم GitHub

GitHub تعدادی از قوانین را منتشر کرده است، به طور عمده سیاست را تعریف می کند در مورد محل سوits استفاده و نتایج بررسی بدافزارو همچنین انطباق با قانون فعلی حق چاپ آمریکا.

در انتشار به روزرسانی های جدید خط مشی ، آنها ذکر کردند که آنها بر تفاوت بین محتوای مضر فعال ، که در سیستم عامل مجاز نیست ، و کد در حالت استراحت در حمایت از تحقیقات امنیتی ، متمرکز هستند ، که مورد استقبال و توصیه قرار گرفته است.

این به روزرسانی ها همچنین بر رفع ابهام در نحوه استفاده از اصطلاحاتی مانند "سو استفاده" ، "بدافزار" و "تحویل" برای ارتقا c وضوح انتظارات و اهداف خود است. ما یک درخواست جلب نظر عمومی ارائه داده ایم و از محققان و توسعه دهندگان امنیت دعوت کرده ایم تا در مورد این توضیحات با ما همکاری کنند و به ما در درک بهتر نیازهای جامعه کمک کنند.

در میان تغییراتی که می توانیم پیدا کنیم ، شرایط زیر علاوه بر ممنوعیت توزیع قبلی که قبلاً تضمین نصب یا تحویل بدافزارها و سو explo استفاده های فعال است ، به قوانین انطباق DMCA اضافه شده است:

ممنوعیت صریح قرار دادن فناوری ها در مخزن برای دور زدن ابزارهای حفاظتی فنی حق چاپ ، از جمله کلیدهای مجوز ، و همچنین برنامه هایی برای تولید کلید ، رد شدن از تأیید کلید و تمدید دوره کار رایگان.

در این مورد ذکر شده است که این روش برای ارائه درخواست حذف کد گفته شده در حال معرفی است. متقاضی حذف باید جزئیات فنی را ارائه دهد ، با قصد اعلام شده برای ارسال درخواست برای بررسی قبل از قفل کردن.
با مسدود کردن مخزن ، آنها قول می دهند توانایی صادرات مسائل و روابط عمومی و ارائه خدمات حقوقی را فراهم كنند.
تغییرات استفاده از سوit استفاده و بدافزار انتقاداتی را در پی حذف مایکروسافت از نمونه اولیه سو Exchange استفاده Microsoft Exchange برای انجام حملات منعکس می کند. قوانین جدید تلاش می کند تا محتوای خطرناک مورد استفاده برای انجام حملات فعال را از کدی که همراه با تحقیقات امنیتی است استفاده کند. تغییرات ایجاد شده:

نه تنها حمله به کاربران GitHub ممنوع است انتشار مطالب با سو explo استفاده ها یا استفاده از GitHub به عنوان وسیله تحویل بهره برداری ، مانند گذشته ، همچنین کد مخرب و سو explo استفاده هایی را که همراه با حملات فعال هستند منتشر کند. به طور کلی ، انتشار نمونه هایی از سوits استفاده هایی که در طی مطالعات امنیتی ایجاد شده و بر آسیب پذیری هایی که قبلاً برطرف شده اند تأثیر می گذارد ، ممنوع نیست ، اما همه اینها به نحوه تفسیر اصطلاح "حملات فعال" بستگی دارد.

به عنوان مثال ، ارسال به هر شکلی از کد منبع جاوا اسکریپت که به مرورگر حمله می کند ، تحت این معیارها قرار می گیرد: حمله کننده با جستجو مانع از بارگیری کد منبع در مرورگر قربانی توسط مهاجم نمی شود ، به طور خودکار وصله می کند که آیا نمونه اولیه بهره برداری در یک نسخه منتشر شده است فرم غیر قابل استفاده ، و اجرای آن.

هر کد دیگری ، به عنوان مثال در C ++ ، همین طور است: هیچ چیز مانع از کامپایل و اجرای آن بر روی دستگاه مورد حمله نمی شود. اگر مخزنی با چنین کدی پیدا شود ، برنامه ریزی شده است که آن را حذف نکنید ، بلکه دسترسی به آن را بسته کنید.

علاوه بر این ، اضافه شد:

  • بندی که امکان طرح درخواست تجدیدنظر در صورت عدم توافق با محاصره را توضیح می دهد.
  • یک نیاز برای صاحبان مخازن که به عنوان بخشی از تحقیقات امنیتی از محتوای بالقوه خطرناک میزبانی می کنند. وجود چنین محتواهایی باید به صراحت در ابتدای پرونده README.md ذکر شود و جزئیات تماس برای ارتباطات باید در پرونده SECURITY.md ارائه شود.

گفته شده است که GitHub به طور کلی سو published استفاده های منتشر شده را همراه با مطالعات امنیتی برای آسیب پذیری های اعلام شده حذف نمی کند (نه روز 0) ، اما توانایی محدود کردن دسترسی را در صورت داشتن احساس خطر برای استفاده از این سرویس های موجود و دنیای واقعی ، برای خود حفظ می کند. حمله بهره برداری می کند پشتیبانی GitHub شکایات مربوط به استفاده از کد برای حملات را دریافت کرده است.

این تغییرات هنوز در حالت پیش نویس است و به مدت 30 روز در دسترس است.

Fuente: https://github.blog/


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.