GitHub אוכף את הכללים לפרסום תוצאות מחקר אבטחה

לוגו GitHub

GitHub פרסמה מספר שינויים בכללים, בעיקר הגדרת המדיניות לגבי מיקום ניצולים ותוצאות חקירת תוכנות זדוניותכמו גם עמידה בחוק זכויות היוצרים הנוכחי בארה"ב.

בפרסום עדכוני המדיניות החדשים הם מזכירים שהם מתמקדים בהבדל בין תוכן מזיק באופן פעיל, שאינו מותר בפלטפורמה, לבין קוד במנוחה לתמיכה במחקר אבטחה, שהוא מבורך ומומלץ.

עדכונים אלה מתמקדים גם בהסרת עמימות באופן בו אנו משתמשים במונחים כמו "ניצול", "תוכנה זדונית" ו"מסירה "כדי לקדם את בהירות הציפיות והכוונות שלנו. פתחנו בקשת משיכה לתגובה ציבורית ומזמינים חוקרי אבטחה ומפתחים לשתף איתנו פעולה בהבהרות אלה ולעזור לנו להבין טוב יותר את צרכי הקהילה.

בין השינויים שנוכל למצוא, התנאים הבאים התווספו לכללי הציות של DMCA, בנוסף לאיסור ההפצה וההבטחה להתקנה או מסירה של תוכנות זדוניות פעילות ומנצלים בעבר:

איסור מפורש להציב טכנולוגיות במאגר כדי לעקוף אמצעי הגנה טכניים זכויות יוצרים, כולל מפתחות רישיון, כמו גם תוכניות ליצירת מפתחות, דילוג על אימות מפתח והארכת תקופת העבודה בחינם.

על כך מוזכר כי הנוהל מוחל להצגת בקשה לחיסול הקוד האמור. על מבקש המחיקה למסור פרטים טכניים, מתוך כוונה מוצהרת להגיש את הבקשה לבדיקה לפני הנעילה.
באמצעות חסימת המאגר, הם מבטיחים לספק את היכולת לייצא נושאים ויחסי ציבור ולהציע שירותים משפטיים.
שינויי המדיניות של תוכנות זדוניות וניצול משקפים ביקורת בעקבות הסרת מיקרוסופט אב-טיפוס של Microsoft Exchange לנצל המשמש לביצוע התקפות. הכללים החדשים מנסים להפריד במפורש בין התוכן המסוכן המשמש לביצוע פיגועים פעילים לקוד המלווה בחקירת האבטחה. שינויים נעשו:

לא רק תקיפת משתמשי GitHub אסורה פרסום תוכן עם מעללים או שימוש ב- GitHub ככלי משלוח נצלני, כפי שהיה קודם, אלא גם לפרסם קוד זדוני ומעללים הנלווים להתקפות פעילות. באופן כללי, אין איסור לפרסם דוגמאות למעללים שפותחו במהלך מחקרי אבטחה ומשפיעים על נקודות תורפה שכבר תוקנו, אך הכל יהיה תלוי באופן פירוש המונח "התקפות אקטיביות".

לדוגמה, פרסום כל סוג של קוד מקור של JavaScript שתוקף את הדפדפן נופל תחת קריטריונים אלה: התוקף אינו מונע מהתוקף להוריד את קוד המקור לדפדפן של הקורבן על ידי חיפוש, ולתקן באופן אוטומטי אם אב הטיפוס הנצל שהוא פורסם בבלתי שמיש. טופס, וריצה.

כנ"ל לגבי כל קוד אחר, למשל ב- C ++: שום דבר לא מונע ממנו להתקבץ ולהריץ על המכונה המותקפת. אם נמצא מאגר עם קוד כזה, מתוכנן לא למחוק אותו, אלא לסגור את הגישה אליו.

בנוסף לכך, הוא נוסף:

  • סעיף המסביר את האפשרות להגיש ערעור במקרה של אי הסכמה עם המצור.
  • דרישה לבעלי מאגרים המארחים תוכן שעלול להיות מסוכן כחלק ממחקר אבטחה. יש להזכיר במפורש את נוכחותם של תוכן כזה בתחילת הקובץ README.md, ואת פרטי הקשר לתקשורת יש לספק בקובץ SECURITY.md.

נאמר כי GitHub בדרך כלל לא מסיר מעלים שפורסמו יחד עם מחקרי אבטחה לפגיעות שכבר נחשפו (לא יום 0), אך שומר לעצמו את היכולת להגביל את הגישה אם הוא מרגיש שיש עדיין סיכון לשימוש בשירות ובעולם האמיתי. התקפה מנצלת את התמיכה של GitHub קיבלה תלונות על השימוש בקוד להתקפות.

השינויים עדיין במצב טיוטה, זמינים לדיון במשך 30 יום.

מקור: https://github.blog/


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.