GitHub a publié un certain nombre de modifications de règles, définissant principalement la politique concernant la localisation des exploits et les résultats de l'enquête sur les logiciels malveillantsainsi que la conformité à la loi américaine sur les droits d'auteur en vigueur.
Dans la publication des nouvelles mises à jour de la politique, ils mentionnent qu'ils se concentrent sur la différence entre le contenu activement nuisible, qui n'est pas autorisé sur la plate-forme, et le code au repos à l'appui de la recherche sur la sécurité, ce qui est bienvenu et recommandé.
Ces mises à jour visent également à supprimer toute ambiguïté dans la manière dont nous utilisons des termes tels que «exploiter», «malware» et «livraison» afin de promouvoir la clarté de nos attentes et de nos intentions. Nous avons ouvert une pull request pour commentaires publics et invitons les chercheurs et développeurs en sécurité à collaborer avec nous sur ces clarifications et à nous aider à mieux comprendre les besoins de la communauté.
Parmi les changements que nous pouvons trouver, les conditions suivantes ont été ajoutées aux règles de conformité DMCA, en plus de l'interdiction de distribution précédemment présente et garantissant l'installation ou la livraison de logiciels malveillants et d'exploits actifs:
Interdiction explicite de placer des technologies dans le référentiel pour contourner les moyens techniques de protection le droit d'auteur, y compris les clés de licence, ainsi que les programmes de génération de clés, d'ignorance de la vérification des clés et d'extension de la période de travail gratuite.
A ce sujet, il est mentionné que la procédure est en cours d'introduction pour présenter une demande de suppression dudit code. Le demandeur de suppression doit fournir des détails techniques, avec l'intention déclarée de soumettre la demande d'examen avant le verrouillage.
En bloquant le référentiel, ils promettent de fournir la capacité d'exporter les problèmes et les relations publiques, et d'offrir des services juridiques.
Les modifications apportées à la politique relative aux exploits et aux logiciels malveillants reflètent les critiques qui ont suivi la suppression par Microsoft d'un prototype d'exploit Microsoft Exchange utilisé pour mener des attaques. Les nouvelles règles tentent de séparer explicitement le contenu dangereux utilisé pour mener des attaques actives du code qui accompagne l'enquête de sécurité. Modifications effectuées:
Il est non seulement interdit d'attaquer les utilisateurs de GitHub publier du contenu avec des exploits ou utiliser GitHub comme véhicule de livraison d'exploits, comme c'était le cas auparavant, mais aussi publier du code malveillant et des exploits qui accompagnent les attaques actives. En général, il n'est pas interdit de publier des exemples d'exploits développés au cours d'études de sécurité et qui affectent des vulnérabilités déjà corrigées, mais tout dépendra de l'interprétation du terme «attaques actives».
Par exemple, publier sous n'importe quelle forme de code source JavaScript qui attaque le navigateur relève de ce critère: l'attaquant n'empêche pas l'attaquant de télécharger le code source dans le navigateur de la victime en recherchant, corrigeant automatiquement si le prototype d'exploit il est publié dans un forme inutilisable, et l'exécuter.
Il en va de même pour tout autre code, par exemple en C ++: rien ne l'empêche de se compiler et de s'exécuter sur la machine attaquée. Si un référentiel avec un tel code est trouvé, il est prévu de ne pas le supprimer, mais d'en fermer l'accès.
En plus de cela, il a été ajouté:
- Une clause qui explique la possibilité de faire appel en cas de désaccord avec le blocus.
- Une exigence pour les propriétaires de référentiels hébergeant du contenu potentiellement dangereux dans le cadre de la recherche sur la sécurité. La présence d'un tel contenu doit être explicitement mentionnée au début du fichier README.md, et les coordonnées de la communication doivent être fournies dans le fichier SECURITY.md.
Il est indiqué que GitHub ne supprime généralement pas les exploits publiés ainsi que les études de sécurité pour les vulnérabilités déjà divulguées (pas le jour 0), mais se réserve la possibilité de restreindre l'accès s'il estime qu'il existe encore un risque d'utiliser ces en service et dans le monde réel. attaque exploits Le support GitHub a reçu des plaintes concernant l'utilisation de code pour les attaques.
Les modifications sont toujours à l'état de brouillon, disponibles pour discussion pendant 30 jours.
source: https://github.blog/