GitHub ने कई नियम परिवर्तन जारी किए हैं, मुख्य रूप से नीति को परिभाषित करना कारनामों के स्थान और मैलवेयर जांच के परिणामों के बारे मेंसाथ ही साथ वर्तमान अमेरिकी कॉपीराइट कानून का अनुपालन।
नई नीति अपडेट के प्रकाशन में, वे उल्लेख करते हैं कि वे सक्रिय रूप से हानिकारक सामग्री के बीच अंतर पर ध्यान केंद्रित करते हैं, जिसे प्लेटफ़ॉर्म पर अनुमति नहीं है, और सुरक्षा अनुसंधान के समर्थन में आराम से कोड है, जो स्वागत और अनुशंसित है।
ये अपडेट हमारी उम्मीदों और इरादों की स्पष्टता को बढ़ावा देने के लिए "शोषण," "मैलवेयर," और "वितरण" जैसे शब्दों का उपयोग करने के तरीके में अस्पष्टता को दूर करने पर भी ध्यान केंद्रित करते हैं। हमने सार्वजनिक टिप्पणी के लिए एक पुल अनुरोध खोला है और सुरक्षा शोधकर्ताओं और डेवलपर्स को इन स्पष्टीकरणों पर हमारे साथ सहयोग करने और समुदाय की जरूरतों को बेहतर ढंग से समझने में मदद करने के लिए आमंत्रित किया है।
उन परिवर्तनों के बीच जो हम पा सकते हैं, डीएमसीए अनुपालन नियमों में निम्नलिखित शर्तें जोड़ी गई हैं, पहले से मौजूद वितरण निषेध और सक्रिय मालवेयर और कारनामों की स्थापना या वितरण की गारंटी के अलावा:
सुरक्षा के तकनीकी साधनों को दरकिनार करने के लिए भंडार में प्रौद्योगिकियों को रखने का स्पष्ट निषेध कॉपीराइट कुंजी, लाइसेंस कुंजियों के साथ-साथ चाबियाँ पैदा करने, कुंजी सत्यापन को छोड़ देने और नि: शुल्क कार्य अवधि का विस्तार करने के लिए कार्यक्रम।
इस पर यह उल्लेख किया गया है कि प्रक्रिया को उक्त कोड के उन्मूलन के लिए अनुरोध पेश करने के लिए पेश किया जा रहा है। विलोपन आवेदक को तकनीकी विवरण देना होगा, लॉकडाउन से पहले समीक्षा के लिए आवेदन जमा करने के घोषित इरादे के साथ।
रिपॉजिटरी को अवरुद्ध करके, वे मुद्दों और जनसंपर्क को निर्यात करने और कानूनी सेवाओं की पेशकश करने की क्षमता प्रदान करने का वादा करते हैं।
शोषण और मैलवेयर नीति परिवर्तन आलोचनाओं को प्रतिबिंबित करते हैं, जो Microsoft द्वारा किए गए हमलों को अंजाम देने के लिए उपयोग किए जाने वाले Microsoft Exchange शोषण को हटाने के बाद होती हैं। नए नियम स्पष्ट रूप से सुरक्षा जांच के साथ आने वाले कोड से सक्रिय हमलों को अंजाम देने के लिए उपयोग की जाने वाली खतरनाक सामग्री को अलग करने का प्रयास करते हैं। परिवर्तन किए:
इतना ही नहीं GitHub यूजर्स पर हमला करना प्रतिबंधित है शोषण के साथ सामग्री को प्रकाशित करना या एक शोषण वितरण वाहन के रूप में GitHub का उपयोग करना, जैसा कि पहले था, लेकिन दुर्भावनापूर्ण कोड भी प्रकाशित करते हैं और सक्रिय हमलों के साथ होने वाले कारनामों को उजागर करते हैं। सामान्य तौर पर, सुरक्षा अध्ययनों के दौरान विकसित किए गए कारनामों के उदाहरणों को प्रकाशित करने के लिए मना नहीं किया जाता है और यह उन कमजोरियों को प्रभावित करता है जो पहले से तय हो गए हैं, लेकिन यह सब इस बात पर निर्भर करेगा कि "सक्रिय हमलों" की व्याख्या कैसे की जाती है।
उदाहरण के लिए, जावास्क्रिप्ट स्रोत कोड के किसी भी रूप में पोस्ट करना जो ब्राउज़र पर हमला करता है, इस मानदंड के अंतर्गत आता है: हमलावर हमलावर को पीड़ित के ब्राउज़र में स्रोत कोड को डाउनलोड करने से रोकता नहीं है, स्वचालित रूप से पैचिंग करता है कि क्या यह शोषण प्रोटोटाइप में प्रकाशित हुआ है अनुपयोगी रूप, और उसे चलाना।
वही किसी भी अन्य कोड के लिए जाता है, उदाहरण के लिए C ++: कुछ भी इसे संकलित मशीन पर हमला करने और चलाने से रोकता है। यदि इस तरह के कोड के साथ एक रिपॉजिटरी पाया जाता है, तो इसे हटाने के लिए नहीं, बल्कि इसे एक्सेस करने की योजना बनाई जाती है।
इसके अतिरिक्त, यह जोड़ा गया था:
- एक खंड जो नाकाबंदी के साथ असहमति के मामले में अपील दायर करने की संभावना की व्याख्या करता है।
- सुरक्षा अनुसंधान के हिस्से के रूप में संभावित खतरनाक सामग्री की मेजबानी करने वाले भंडार मालिकों की आवश्यकता। README.md फ़ाइल की शुरुआत में ऐसी सामग्री की उपस्थिति स्पष्ट रूप से उल्लिखित होनी चाहिए, और संचार के लिए संपर्क विवरण SECURITY.md फ़ाइल में प्रदान किया जाना चाहिए।
यह कहा जाता है कि GitHub आम तौर पर पहले से खुलासा किए गए कमजोरियों के लिए सुरक्षा अध्ययन के साथ प्रकाशित कारनामों को नहीं हटाता है (दिन 0 पर), लेकिन अगर यह अभी भी इन-सेवा और वास्तविक दुनिया का उपयोग करने का जोखिम है, तो लगता है कि पहुंच को प्रतिबंधित करने की क्षमता सुरक्षित है हमले के कारनामे GitHub समर्थन को हमलों के लिए कोड के उपयोग के बारे में शिकायतें मिली हैं।
परिवर्तन अभी भी ड्राफ्ट स्थिति में हैं, 30 दिनों के लिए चर्चा के लिए उपलब्ध हैं।
Fuente: https://github.blog/