GitHub telah merilis sejumlah perubahan aturan, terutama mendefinisikan kebijakan terkait lokasi eksploitasi dan hasil investigasi perangkat lunak jahatserta kepatuhan terhadap Undang-Undang Hak Cipta AS saat ini.
Dalam publikasi pembaruan kebijakan baru, mereka menyebutkan bahwa mereka fokus pada perbedaan antara konten yang secara aktif berbahaya, yang tidak diperbolehkan di platform, dan kode diam untuk mendukung penelitian keamanan, yang diterima dan direkomendasikan.
Pembaruan ini juga berfokus pada penghapusan ambiguitas dalam cara kami menggunakan istilah seperti "exploit", "malware", dan "delivery" untuk mendukung kejelasan harapan dan niat kami. Kami telah membuka permintaan tarik untuk komentar publik dan mengundang peneliti dan pengembang keamanan untuk berkolaborasi dengan kami dalam klarifikasi ini dan membantu kami lebih memahami kebutuhan komunitas.
Di antara perubahan yang dapat kami temukan, kondisi berikut telah ditambahkan ke aturan kepatuhan DMCA, selain larangan distribusi yang ada sebelumnya dan menjamin pemasangan atau pengiriman malware dan eksploitasi aktif:
Larangan eksplisit menempatkan teknologi dalam repositori untuk menghindari cara perlindungan teknis hak cipta, termasuk kunci lisensi, serta program untuk menghasilkan kunci, melewatkan verifikasi kunci, dan memperpanjang masa kerja gratis.
Dalam hal ini disebutkan bahwa prosedur sedang diperkenalkan untuk mengajukan permintaan penghapusan kode tersebut. Pemohon penghapusan harus memberikan detail teknis, dengan maksud mengajukan aplikasi untuk ditinjau sebelum lockdown.
Dengan memblokir repositori, mereka berjanji untuk memberikan kemampuan untuk mengekspor masalah dan hubungan masyarakat, serta menawarkan layanan hukum.
Perubahan kebijakan exploit dan malware mencerminkan kritik setelah Microsoft menghapus prototipe eksploitasi Microsoft Exchange yang digunakan untuk melakukan serangan. Aturan baru berupaya untuk secara eksplisit memisahkan konten berbahaya yang digunakan untuk melakukan serangan aktif dari kode yang menyertai investigasi keamanan. Perubahan dilakukan:
Tidak hanya menyerang pengguna GitHub dilarang menerbitkan konten dengan eksploitasi atau menggunakan GitHub sebagai sarana pengiriman eksploitasi, seperti sebelumnya, tetapi juga mempublikasikan kode berbahaya dan eksploitasi yang menyertai serangan aktif. Secara umum, tidak dilarang untuk mempublikasikan contoh eksploitasi yang dikembangkan selama studi keamanan dan yang memengaruhi kerentanan yang telah diperbaiki, tetapi semuanya akan bergantung pada bagaimana istilah "serangan aktif" diinterpretasikan.
Misalnya, memposting segala bentuk kode sumber JavaScript yang menyerang browser termasuk dalam kriteria ini: penyerang tidak mencegah penyerang mengunduh kode sumber ke browser korban dengan mencari, secara otomatis menambal apakah prototipe exploit itu diterbitkan dalam bentuk yang tidak dapat digunakan membentuk, dan menjalankannya.
Hal yang sama berlaku untuk kode lain, misalnya di C ++: tidak ada yang mencegahnya untuk mengkompilasi dan berjalan di mesin yang diserang. Jika repositori dengan kode seperti itu ditemukan, direncanakan untuk tidak menghapusnya, tetapi untuk menutup aksesnya.
Selain itu, ditambahkan:
- Klausul yang menjelaskan kemungkinan mengajukan banding jika terjadi ketidaksepakatan dengan blokade.
- Persyaratan untuk pemilik repositori yang menghosting konten yang berpotensi berbahaya sebagai bagian dari penelitian keamanan. Kehadiran konten tersebut harus disebutkan secara eksplisit di awal file README.md, dan detail kontak untuk komunikasi harus disediakan dalam file SECURITY.md.
Dinyatakan bahwa GitHub secara umum tidak menghapus eksploitasi yang dipublikasikan bersama dengan studi keamanan untuk kerentanan yang telah diungkapkan (bukan hari 0), tetapi memiliki kemampuan untuk membatasi akses jika dirasa masih ada risiko menggunakan eksploitasi dalam layanan dan serangan aktual ini. Dukungan GitHub telah menerima keluhan tentang penggunaan kode untuk serangan.
Perubahan masih dalam status draf, tersedia untuk diskusi selama 30 hari.
sumber: https://github.blog/