GitHubは、セキュリティ調査結果を公開するためのルールを適用します

GitHubロゴ

GitHubはいくつかのルール変更をリリースしました、主にポリシーを定義する エクスプロイトの場所とマルウェア調査の結果についてまた、現在の米国著作権法への準拠。

新しいポリシーアップデートの公開では、プラットフォームで許可されていない積極的に有害なコンテンツと、セキュリティ調査をサポートするための安静時のコードの違いに焦点を当てていると述べています。これは歓迎され、推奨されています。

これらの更新では、「エクスプロイト」、「マルウェア」、「配信」などの用語を使用して曖昧さを排除し、期待と意図を明確にすることに重点を置いています。 パブリックコメントのプルリクエストを開始し、セキュリティの研究者と開発者にこれらの説明について協力してもらい、コミュニティのニーズをよりよく理解できるように支援します。

私たちが見つけることができる変更の中で、以前に存在した配布禁止に加えて、アクティブなマルウェアとエクスプロイトのインストールまたは配信を保証することに加えて、次の条件がDMCAコンプライアンスルールに追加されました。

技術的な保護手段を回避するためにリポジトリにテクノロジーを配置することを明示的に禁止する ライセンスキーを含む著作権、およびキーの生成、キー検証のスキップ、および無料作業期間の延長のためのプログラム。

これに関して、上記のコードの削除の要求を提示するための手順が導入されていることが言及されています。 削除申請者は技術的な詳細を提供する必要があります、 封鎖前に審査のために申請書を提出するという表明された意図を持って。
リポジトリをブロックすることにより、問題や広報をエクスポートする機能を提供し、法律サービスを提供することを約束します。
エクスプロイトとマルウェアポリシーの変更は、攻撃の実行に使用されたMicrosoftExchangeエクスプロイトのプロトタイプをMicrosoftが削除した後の批判を反映しています。 新しいルールは、アクティブな攻撃を実行するために使用される危険なコンテンツを、セキュリティ調査に伴うコードから明示的に分離しようとします。 行われた変更:

GitHubユーザーを攻撃することは禁止されているだけではありません 以前のように、エクスプロイトを使用してコンテンツを公開したり、GitHubをエクスプロイト配信手段として使用したりします。 だけでなく、アクティブな攻撃に伴う悪意のあるコードやエクスプロイトを公開します。 一般に、セキュリティ調査の過程で開発され、すでに修正されている脆弱性に影響を与えるエクスプロイトの例を公開することは禁止されていませんが、それはすべて「アクティブな攻撃」という用語の解釈方法によって異なります。

たとえば、ブラウザを攻撃する任意の形式のJavaScriptソースコードでの投稿は、この基準に該当します。攻撃者は、エクスプロイトプロトタイプが公開されているかどうかを検索し、自動的にパッチを適用して、攻撃者がソースコードを被害者のブラウザにダウンロードするのを防ぎません。使用できないフォーム、およびそれを実行します。

同じことが他のコード、たとえばC ++にも当てはまります。攻撃されたマシンでのコンパイルと実行を妨げるものは何もありません。 そのようなコードを持つリポジトリが見つかった場合、それを削除するのではなく、アクセスを閉じることが計画されています。

これに加えて、次のように追加されました。

  • 封鎖に同意しない場合に上訴する可能性を説明する条項。
  • セキュリティ調査の一環として、潜在的に危険なコンテンツをホストしているリポジトリ所有者の要件。 このようなコンテンツの存在は、README.mdファイルの先頭に明示的に記載する必要があり、通信の連絡先の詳細はSECURITY.mdファイルで提供する必要があります。

GitHubは通常、公開されたエクスプロイトと、すでに開示されている脆弱性のセキュリティ調査(0日目ではない)を削除しませんが、これらのインサービスおよび実世界を使用するリスクがまだあると感じた場合は、アクセスを制限する機能を留保します。攻撃の悪用GitHubサポートは、攻撃のためのコードの使用に関する苦情を受けています。

変更はまだドラフトステータスであり、30日間議論することができます。

出典 https://github.blog/


コメントを最初に

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。