GitHub ha rilasciato una serie di modifiche alle regole, definendo principalmente la politica per quanto riguarda la posizione degli exploit e i risultati delle indagini sul malwarecosì come la conformità con l'attuale legge statunitense sul copyright.
Nella pubblicazione dei nuovi aggiornamenti della politica, menzionano che si concentrano sulla differenza tra contenuto attivamente dannoso, che non è consentito sulla piattaforma, e codice a riposo a sostegno della ricerca sulla sicurezza, che è il benvenuto e raccomandato.
Questi aggiornamenti si concentrano anche sulla rimozione dell'ambiguità nel modo in cui utilizziamo termini come "exploit", "malware" e "delivery" per promuovere la chiarezza delle nostre aspettative e intenzioni. Abbiamo aperto una richiesta pull per un commento pubblico e invitiamo i ricercatori e gli sviluppatori della sicurezza a collaborare con noi su questi chiarimenti e aiutarci a comprendere meglio le esigenze della comunità.
Tra le modifiche che possiamo trovare, le seguenti condizioni sono state aggiunte alle regole di conformità DMCA, oltre al divieto di distribuzione precedentemente presente e di garantire l'installazione o la consegna di malware e exploit attivi:
Divieto esplicito di collocare tecnologie nel deposito per aggirare i mezzi tecnici di protezione copyright, comprese le chiavi di licenza, nonché programmi per generare chiavi, saltare la verifica delle chiavi ed estendere il periodo di lavoro gratuito.
Su questo si segnala che si sta introducendo la procedura per presentare una richiesta di eliminazione di detto codice. Il richiedente la cancellazione deve fornire dettagli tecnici, con la dichiarata intenzione di presentare la domanda di revisione prima del blocco.
Bloccando il repository, promettono di fornire la possibilità di esportare questioni e pubbliche relazioni e di offrire servizi legali.
Le modifiche ai criteri di malware e exploit riflettono le critiche a seguito della rimozione da parte di Microsoft di un prototipo di exploit di Microsoft Exchange utilizzato per eseguire gli attacchi. Le nuove regole tentano di separare esplicitamente il contenuto pericoloso utilizzato per eseguire attacchi attivi dal codice che accompagna l'indagine di sicurezza. Modifiche apportate:
Non solo è vietato attaccare gli utenti di GitHub pubblicare contenuti con exploit o utilizzare GitHub come veicolo di distribuzione di exploit, come era prima, ma pubblica anche codice dannoso ed exploit che accompagnano gli attacchi attivi. In generale, non è vietato pubblicare esempi di exploit sviluppati nel corso di studi sulla sicurezza e che interessano vulnerabilità già risolte, ma tutto dipenderà da come verrà interpretato il termine "attacchi attivi".
Ad esempio, la pubblicazione in qualsiasi forma di codice sorgente JavaScript che attacca il browser rientra in questo criterio: l'attaccante non impedisce all'attaccante di scaricare il codice sorgente nel browser della vittima effettuando una ricerca, correggendo automaticamente se il prototipo di exploit è pubblicato in modulo inutilizzabile e eseguirlo.
Lo stesso vale per qualsiasi altro codice, ad esempio in C ++: nulla impedisce la compilazione e l'esecuzione sulla macchina attaccata. Se viene trovato un repository con tale codice, si prevede di non eliminarlo, ma di chiuderne l'accesso.
Oltre a questo, è stato aggiunto:
- Una clausola che spiega la possibilità di presentare ricorso in caso di disaccordo con il blocco.
- Un requisito per i proprietari di repository che ospitano contenuti potenzialmente pericolosi come parte della ricerca sulla sicurezza. La presenza di tale contenuto deve essere esplicitamente menzionata all'inizio del file README.md e i dettagli di contatto per la comunicazione devono essere forniti nel file SECURITY.md.
Si afferma che GitHub generalmente non rimuove gli exploit pubblicati insieme agli studi sulla sicurezza per le vulnerabilità già divulgate (non il giorno 0), ma si riserva la possibilità di limitare l'accesso se ritiene che ci sia ancora il rischio di utilizzare questi In-service e nel mondo reale exploit di attacco Il supporto di GitHub ha ricevuto reclami sull'utilizzo del codice per gli attacchi.
Le modifiche sono ancora in stato di bozza, disponibili per la discussione per 30 giorni.
fonte: https://github.blog/