GitHub aplica as regras para publicar os resultados da investigación de seguridade

Logotipo de GitHub

GitHub lanzou unha serie de cambios nas regras, principalmente definindo a política en canto á localización de exploits e aos resultados da investigación de malwareasí como o cumprimento da actual lei de dereitos de autor dos EUA.

Na publicación das novas actualizacións de políticas, mencionan que se centran na diferenza entre contido daniño activo, que non está permitido na plataforma, e código en repouso para apoiar a investigación de seguridade, que é benvido e recomendable.

Estas actualizacións tamén se centran en eliminar a ambigüidade na forma en que usamos termos como "explotar", "malware" e "entrega" para promover a claridade das nosas expectativas e intencións. Abrimos unha solicitude de comentario público e invitamos a investigadores e desenvolvedores de seguridade a colaborar connosco nestas aclaracións e axudarnos a comprender mellor as necesidades da comunidade.

Entre os cambios que podemos atopar, engadíronse as seguintes condicións ás regras de cumprimento da DMCA, ademais da prohibición de distribución anterior e que garante a instalación ou entrega de malware activo e exploits:

Prohibición explícita de colocar tecnoloxías no repositorio para eludir os medios técnicos de protección dereitos de autor, incluíndo claves de licenza, así como programas para xerar claves, omitir a verificación de claves e ampliar o período de traballo gratuíto.

Sobre isto cítase que se está a introducir o procedemento para presentar unha solicitude de eliminación do devandito código. O solicitante de eliminación deberá proporcionar detalles técnicos, coa declarada intención de presentar a solicitude de revisión antes do bloqueo.
Ao bloquear o repositorio, prometen proporcionar a posibilidade de exportar problemas e relacións públicas e ofrecer servizos xurídicos.
Os cambios na política de exploit e malware reflicten críticas tras a eliminación de Microsoft dun prototipo de exploit de Microsoft Exchange usado para realizar ataques. As novas regras intentan separar explícitamente o contido perigoso usado para realizar ataques activos do código que acompaña a investigación de seguridade. Cambios feitos:

Non só está prohibido atacar aos usuarios de GitHub publicar contido con exploits ou usar GitHub como vehículo de entrega de exploit, como era antes, pero tamén publica códigos e exploits maliciosos que acompañan aos ataques activos. En xeral, non está prohibido publicar exemplos de exploits desenvolvidos no curso de estudos de seguridade e que afecten a vulnerabilidades que xa se solucionaron, pero todo dependerá de como se interprete o termo "ataques activos".

Por exemplo, publicar calquera forma de código fonte JavaScript que ataca o navegador está baixo este criterio: o atacante non impide que o atacante descargue o código fonte ao navegador da vítima mediante a busca, reparando automaticamente se o prototipo de explotación está publicado nun inutilizable e executalo.

O mesmo ocorre con calquera outro código, por exemplo en C ++: nada impide que se compile e se execute na máquina atacada. Se se atopa un repositorio con devandito código, está previsto non eliminalo, senón pechar o acceso a el.

Ademais disto, engadiuse:

  • Unha cláusula que explica a posibilidade de presentar un recurso en caso de desacordo co bloqueo.
  • Un requisito para os propietarios de repositorios que aloxan contido potencialmente perigoso como parte da investigación de seguridade. A presenza dese contido debe mencionarse de xeito explícito ao comezo do ficheiro README.md e os datos de contacto para a comunicación deben proporcionarse no ficheiro SECURITY.md.

Afírmase que GitHub xeralmente non elimina os exploits publicados xunto con estudos de seguridade para as vulnerabilidades xa reveladas (non o día 0), pero reserva a posibilidade de restrinxir o acceso se considera que aínda existe o risco de usar estes servizos reais e do mundo real. exploits attack O soporte de GitHub recibiu queixas sobre o uso de código para ataques.

Os cambios aínda están en estado de borrador, dispoñibles para o seu debate durante 30 días.

Fuente: https://github.blog/


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

bool (verdadeiro)