GitHub on julkaissut useita sääntömuutoksia, lähinnä politiikan määritteleminen hyödyntämisen sijainnista ja haittaohjelmien tutkinnan tuloksistasekä Yhdysvaltojen voimassa olevan tekijänoikeuslain noudattaminen.
Uusien käytäntöpäivitysten julkaisussa he mainitsevat keskittyvänsä aktiivisen haitallisen sisällön, jota ei sallita alustalle, ja levossa olevan koodin välillä turvallisuustutkimuksen tueksi, mikä on tervetullutta ja suositeltavaa.
Nämä päivitykset keskittyvät myös epäselvyyden poistamiseen tavasta, jolla käytämme termejä kuten "hyödyntää", "haittaohjelma" ja "toimitus", jotta voimme selkeyttää odotuksiamme ja aikomuksiamme. Olemme avanneet julkisten kommenttien hakupyynnön ja kutsuneet tietoturvatutkijoita ja -kehittäjiä tekemään yhteistyötä kanssamme näiden selvitysten suhteen ja auttamaan meitä ymmärtämään paremmin yhteisön tarpeita.
Löytämistämme muutoksista DMCA-sääntöjen noudattamista koskeviin sääntöihin on lisätty seuraavat ehdot nykyisen aktiivisen haittaohjelman ja hyväksikäytön jakelun kieltämisen lisäksi.
Selkeä kielto sijoittaa tekniikoita arkistoon teknisten suojakeinojen kiertämiseksi tekijänoikeudet, mukaan lukien lisenssiavaimet, sekä ohjelmat avainten luomiseksi, avainten vahvistuksen ohittamiseksi ja ilmaisen työajan pidentämiseksi.
Tässä mainitaan, että menettely on aloitettu pyynnön esittämiseksi mainitun koodin poistamiseksi. Poistamisen hakijan on toimitettava tekniset yksityiskohdat, ilmoitetulla aikomuksella jättää hakemus tarkistettavaksi ennen lukon päättämistä.
Estämällä arkiston he lupaavat tarjota mahdollisuuden viedä asioita ja suhdetoimintaa sekä tarjota oikeudellisia palveluja.
Haittaohjelmien ja hyödyntämiskäytäntöjen muutokset heijastavat kritiikkiä sen jälkeen, kun Microsoft poisti prototyypin, jonka Microsoft Exchange -hyökkäys käytti hyökkäyksiin. Uudet säännöt yrittävät erottaa aktiivisten hyökkäysten suorittamiseen käytetyn vaarallisen sisällön turvallisuustutkinnan mukana olevasta koodista. Tehdyt muutokset:
Ei vain GitHub-käyttäjien hyökkäys on kielletty julkaisemalla sisältöä hyödyntämällä tai käyttämällä GitHubia hyödyntämisen jakeluvälineenä, kuten ennen mutta myös julkaista haitallisia koodeja ja hyökkäyksiä, jotka liittyvät aktiivisiin hyökkäyksiin. Yleensä ei ole kiellettyä julkaista esimerkkejä turvallisuustutkimusten aikana kehitetyistä hyödyntämistoimista, jotka vaikuttavat jo korjattuihin haavoittuvuuksiin, mutta kaikki riippuu siitä, miten termi "aktiiviset hyökkäykset" tulkitaan.
Esimerkiksi lähettäminen mihin tahansa selainta hyökkäävään JavaScript-lähdekoodimuotoon kuuluu tämän kriteerin alaisuuteen: hyökkääjä ei estä hyökkääjää lataamasta lähdekoodia uhrin selaimelle tekemällä hakuja ja korjaamalla automaattisesti, onko sen prototyyppi julkaistu käyttökelvoton muoto ja sen käyttäminen.
Sama koskee kaikkia muita koodeja, esimerkiksi C ++: ssa: mikään ei estä sitä kääntämästä ja suorittamasta hyökkäyksessä olevaa konetta. Jos arkisto, jolla on tällainen koodi, ei ole tarkoitus poistaa, vaan sulkea pääsy siihen.
Tämän lisäksi se lisättiin:
- Lauseke, joka selittää mahdollisuuden tehdä muutoksenhaku, jos erimielisyydet estetään.
- Vaatimus tietovaraston omistajille, jotka isännöivät mahdollisesti vaarallista sisältöä osana tietoturvatutkimusta. Tällaisen sisällön olemassaolo on mainittava nimenomaisesti README.md-tiedoston alussa, ja viestinnän yhteystiedot on annettava SECURITY.md-tiedostossa.
Todetaan, että GitHub ei yleensä poista julkaistuja hyväksikäyttöjä yhdessä jo julkaistujen haavoittuvuuksien turvallisuustutkimusten kanssa (ei päivä 0), mutta varaa mahdollisuuden rajoittaa pääsyä, jos sen mielestä on edelleen riski käyttää näitä palvelujen ja reaalimaailman hyökkäys hyödyntää GitHub-tuki on saanut valituksia koodin käytöstä hyökkäyksiin.
Muutokset ovat edelleen luonnostilassa, ja ne ovat keskusteltavissa 30 päivän ajan.
lähde: https://github.blog/