GitHub қауіпсіздікті зерттеу нәтижелерін жариялау ережелерін қолданады

GitHub логотипі

GitHub бірқатар ережелер өзгертулерін шығардынегізінен саясатты анықтайды эксплуатация орны мен зиянды бағдарламаны тергеу нәтижелері туралысондай-ақ АҚШ-тың қолданыстағы авторлық құқық туралы Заңына сәйкестігі.

Саясаттың жаңа жаңартуларын жариялағанда, олар платформада рұқсат етілмеген белсенді зиянды мазмұн мен құпиялылық пен қауіпсіздікті зерттеуге қолдау көрсету үшін тыныштықтағы кодтың арасындағы айырмашылыққа назар аударатындығын айтады, бұл құпталады және ұсынылады.

Бұл жаңартулар біздің күтуіміз бен ниеттеріміздің анықтығына ықпал ету үшін «пайдалану», «зиянды бағдарламалық қамтамасыз ету» және «жеткізу» сияқты терминдерді қолдануымыздағы екіұштылықты жоюға бағытталған. Біз көпшіліктің пікірін сұрап, қауіпсіздік зерттеушілері мен әзірлеушілерін осы түсініктемелер бойынша бізбен ынтымақтастық орнатуға және қоғамдастық қажеттіліктерін жақсы түсінуге көмектесуге шақырдық.

Біз таба алатын өзгерістердің арасында DMCA сәйкестігі ережелеріне төмендегі шарттар қосылды, бұған дейін таратуға тыйым салынған және белсенді зиянды бағдарламалар мен эксплуатацияларды орнатуға немесе жеткізуге кепілдік берілген:

Техникалық қорғау құралдарын айналып өту үшін репозиторийде технологияларды орналастыруға нақты тыйым салу лицензиялық кілттерді қоса авторлық құқық, сондай-ақ кілттер шығаруға, кілттерді тексеруді өткізіп жіберуге және ақысыз жұмыс мерзімін ұзартуға арналған бағдарламалар.

Бұл туралы аталған кодты жою туралы сұрау салу процедурасы енгізіліп жатқандығы айтылды. Жою туралы өтініш беруші техникалық мәліметтерді ұсынуы керек, өтінімді бұғаттауға дейін қарауға беру туралы ниетпен.
Репозиторийді бұғаттау арқылы олар экспорттық мәселелерді және қоғамдық қатынастарды қамтамасыз етуге және заң қызметін ұсынуға уәде береді.
Эксплуатация және зиянды бағдарламалар саясатының өзгерістері Microsoft корпорациясы шабуылдар жасау үшін пайдаланылған Microsoft Exchange эксплуатациясының прототипін алып тастағаннан кейінгі сынды көрсетеді. Жаңа ережелер белсенді шабуылдар жасау үшін қолданылатын қауіпті мазмұнды қауіпсіздікті тергеумен бірге жүретін кодтан нақты бөлуге тырысады. Өзгерістер:

GitHub қолданушыларына шабуыл жасауға тыйым салынады эксплойттармен мазмұн жариялау немесе GitHub-ті эксплуатациялау құралы ретінде пайдалану, бұрынғыдай, сонымен қатар белсенді шабуылдармен бірге жүретін зиянды код пен эксплуатацияны жариялаңыз. Жалпы, қауіпсіздікті зерттеу барысында әзірленген және қазірдің өзінде жойылған осалдықтарға әсер ететін эксплуатация мысалдарын жариялауға тыйым салынбайды, бірақ бәрі «белсенді шабуылдар» терминінің қалай түсіндірілуіне байланысты болады.

Мысалы, браузерге шабуыл жасайтын кез-келген JavaScript бастапқы кодын орналастыру осы критерийлерге сәйкес келеді: шабуылдаушы шабуылдаушының бастапқы кодын құрбанның браузеріне іздеу жолымен жүктеуіне кедергі келтірмейді, ол эксплуатациялық прототиптің жарамсыз болып жарияланғандығын автоматты түрде түзетеді форма және оны іске қосу.

Бұл кез-келген басқа кодқа қатысты, мысалы, C ++ тілінде: шабуылға ұшыраған машинада оны құрастыруға және іске қосуға ештеңе кедергі болмайды. Егер осындай коды бар репозиторий табылса, оны жою емес, оған қол жетімділікті жабу жоспарланған.

Бұған қосымша:

  • Блокадамен келіспеген жағдайда апелляциялық шағым беру мүмкіндігін түсіндіретін тармақ.
  • Қауіпсіздікті зерттеу шеңберінде қауіпті мазмұнды орналастыратын репозитарий иелеріне қойылатын талап. Мұндай мазмұнның болуы README.md файлының басында нақты айтылуы керек, және байланыс үшін байланыс деректері SECURITY.md файлында көрсетілуі керек.

GitHub әдетте жарияланған эксплуатацияларды қазірдің өзінде ашылған (0-ші күн емес) осалдықтарға арналған қауіпсіздік зерттеулерімен бірге алып тастамайды, бірақ егер бұл Exploits-ті нақты шабуылдар үшін пайдалану қаупі бар деп санаса, кіруді шектеу мүмкіндігін сақтайды деп мәлімделеді. -сервис GitHub қолдауына шабуылдар үшін кодты қолдану туралы шағымдар келіп түсті.

Өзгерістер әлі күнге дейін жоба мәртебесінде, 30 күн бойы талқылауға шығарылады.

Дерек көзі: https://github.blog/


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.