A GitHub számos szabálymódosítást tett közzé, főleg a politika meghatározása a kihasználások helyét és a rosszindulatú programok kivizsgálásának eredményeit illetőenvalamint a hatályos amerikai szerzői jogi törvény betartása.
Az új házirend-frissítések publikációjában megemlítik, hogy az aktívan káros, a platformon nem engedélyezett tartalmak és a biztonsági kutatás támogatására szolgáló, nyugalmi kódok közötti különbségre összpontosítanak, ami üdvözlendő és ajánlott.
Ezek a frissítések arra is összpontosítanak, hogy az elvárásaink és szándékaink egyértelműbbé tétele érdekében a „kizsákmányolás”, a „rosszindulatú programok” és a „kézbesítés” kifejezéseket használjuk. Nyújtottunk nyilvános megjegyzéseket tartalmazó felhívást, és felkértük a biztonsági kutatókat és fejlesztőket, hogy működjenek együtt velünk ezekben a pontosításokban, és segítsenek jobban megérteni a közösségi igényeket.
Az általunk tapasztalt változtatások között a DMCA megfelelőségi szabályai a következő feltételekkel egészültek ki, a terjesztés korábbi tilalma mellett, valamint az aktív rosszindulatú programok és kihasználások telepítésének vagy kézbesítésének garantálása mellett:
A technológiák lerakóba történő elhelyezésének kifejezett tiltása a védelem technikai eszközeinek megkerülése érdekében a szerzői jogok, ideértve a licenckulcsokat, valamint a kulcsok előállítására, a kulcsok ellenőrzésének kihagyására és az ingyenes munkaidő meghosszabbítására irányuló programok.
Erről megemlítik, hogy az eljárás bevezetése folyamatban van az említett kód megszüntetésére irányuló kérelem benyújtására. A törlés kérelmezőjének meg kell adnia a technikai részleteket, azzal a szándékkal, hogy a zárlatot megelőzően benyújtják a kérelmet felülvizsgálatra.
Az adattár blokkolásával megígérik, hogy lehetőséget nyújtanak a kérdések és a közönségkapcsolatok exportjára, valamint jogi szolgáltatásokat kínálnak.
A rosszindulatú programokra és a kihasználásra vonatkozó irányelvek változásai azt a kritikát tükrözik, hogy a Microsoft eltávolította a támadások végrehajtásához használt Microsoft Exchange-prototípust. Az új szabályok megkísérlik kifejezetten elkülöníteni az aktív támadások végrehajtására használt veszélyes tartalmat a biztonsági vizsgálatot kísérő kódtól. Végzett változtatások:
Nem csak a GitHub-felhasználók támadása tilos tartalom közzététele kiaknázással vagy a GitHub használata kizsákmányoló szállító eszközként, ahogy az korábban volt, hanem rosszindulatú kódokat és kihasználásokat is közzétesz, amelyek az aktív támadásokat kísérik. Általában nem tilos a biztonsági tanulmányok során kifejlesztett és a már javított sérülékenységeket érintő kihasználások példáinak közzététele, de mindez attól függ, hogy hogyan értelmezik az "aktív támadások" kifejezést.
Például a böngészőt megtámadó bármilyen JavaScript-forráskód közzététele e kritériumok alá tartozik: a támadó nem akadályozza meg a támadót abban, hogy kereséssel töltse le a forráskódot az áldozat böngészőjébe, és automatikusan javítsa, hogy a kihasználható prototípus használhatatlan-e. formában, és fut.
Ugyanez vonatkozik minden más kódra, például a C ++ -ra: semmi sem akadályozza meg azt, hogy lefordítsa és futtassa a támadott gépet. Ha egy ilyen kóddal rendelkező tár található, akkor a tervek szerint nem törli, hanem bezárja a hozzáférést.
Ezen felül hozzá lett adva:
- Egy záradék, amely elmagyarázza a fellebbezés benyújtásának lehetőségét abban az esetben, ha a blokáddal nem értenek egyet.
- Követelmény a potenciálisan veszélyes tartalmat tároló adattár tulajdonosok számára a biztonsági kutatás részeként. Az ilyen tartalom jelenlétét kifejezetten meg kell említeni a README.md fájl elején, és a kommunikáció elérhetőségeit a SECURITY.md fájlban kell megadni.
Kijelentik, hogy a GitHub általában nem távolítja el a közzétett kiaknázásokat, valamint a már nyilvánosságra hozott sebezhetőségek biztonsági tanulmányait (nem a 0. napot), de fenntartja a hozzáférés korlátozásának lehetőségét, ha úgy érzi, hogy továbbra is fennáll a veszélye ezeknek a szolgáltatás közbeni és valós használatnak támadás kihasználja a GitHub támogatása panaszokat kapott a támadásokhoz használt kódokról.
A változások még mindig piszkozati állapotban vannak, 30 napig megvitathatóak.
forrás: https://github.blog/