GitHub는 보안 연구 결과를 게시하기위한 규칙을 시행합니다.

GitHub 로고

GitHub는 다양한 규칙 변경 사항을 발표했습니다., 주로 정책 정의 익스플로잇 위치 및 맬웨어 조사 결과현재 미국 저작권법을 준수합니다.

새로운 정책 업데이트 발표에서 그들은 플랫폼에서 허용되지 않는 적극적으로 유해한 콘텐츠와 보안 연구를 지원하는 유휴 코드의 차이점에 초점을 맞추고 있다고 언급했습니다.

이러한 업데이트는 또한 우리의 기대와 의도를 명확하게하기 위해 "악용", "멀웨어"및 "배달"과 같은 용어를 사용하는 방식에서 모호성을 제거하는 데 중점을 둡니다. 우리는 공개 의견에 대한 풀 요청을 시작했으며 보안 연구원 및 개발자가 이러한 설명에 대해 우리와 협력하고 커뮤니티 요구 사항을 더 잘 이해하도록 도와 줄 것을 요청했습니다.

발견 할 수있는 변경 사항 중 이전에 존재했던 배포 금지 및 활성 맬웨어 및 익스플로잇의 설치 또는 전달을 보장하는 것 외에도 다음 조건이 DMCA 규정 준수 규칙에 추가되었습니다.

기술적 보호 수단을 우회하기 위해 저장소에 기술을 배치하는 것을 명시 적으로 금지 라이센스 키, 키 생성, 키 확인 건너 뛰기 및 무료 작업 기간 연장을위한 프로그램을 포함한 저작권.

이에 대해 해당 코드 제거 요청을 제시하는 절차가 도입되고 있다고 언급됩니다. 삭제 신청자는 기술적 세부 사항을 제공해야합니다. 폐쇄 이전에 검토를 위해 신청서를 제출할 의도로 명시되어 있습니다.
저장소를 차단함으로써 이슈와 홍보물을 수출하고 법률 서비스를 제공 할 수있는 능력을 제공 할 것을 약속합니다.
악성 코드 및 익스플로잇 정책 변경은 공격을 수행하는 데 사용되는 프로토 타입 Microsoft Exchange 익스플로잇을 Microsoft가 제거한 이후의 비판을 반영합니다. 새로운 규칙은 보안 조사에 수반되는 코드에서 활성 공격을 수행하는 데 사용되는 위험한 콘텐츠를 명시 적으로 분리하려고 시도합니다. 변경 사항 :

GitHub 사용자를 공격하는 것뿐만 아니라 익스플로잇이있는 콘텐츠를 게시하거나 GitHub를 익스플로잇 전달 수단으로 이전처럼 사용 또한 적극적인 공격에 수반되는 악성 코드 및 익스플로잇을 게시합니다.. 일반적으로 보안 연구 과정에서 개발되고 이미 수정 된 취약성에 영향을 미치는 악용 사례를 게시하는 것은 금지되지 않지만 모두 "능동 공격"이라는 용어가 해석되는 방식에 따라 달라집니다.

예를 들어, 브라우저를 공격하는 모든 형태의 JavaScript 소스 코드를 게시하는 것은이 기준에 해당됩니다. 공격자는 공격자가 검색을 통해 소스 코드를 피해자의 브라우저에 다운로드하는 것을 방지하지 않으며, 사용할 수없는 익스플로잇 프로토 타입이 게시되었는지 여부를 자동으로 패치합니다. 형태와 달리기.

예를 들어 C ++의 다른 코드도 마찬가지입니다. 공격을받은 컴퓨터에서 컴파일하고 실행하는 것을 방해하는 것은 없습니다. 이러한 코드가있는 저장소가 발견되면 삭제하지 않고 액세스를 종료 할 계획입니다.

이 외에도 다음과 같이 추가되었습니다.

  • 봉쇄에 동의하지 않는 경우 항소를 제기 할 가능성을 설명하는 조항.
  • 보안 연구의 일환으로 잠재적으로 위험한 콘텐츠를 호스팅하는 저장소 소유자에 대한 요구 사항입니다. 이러한 콘텐츠의 존재는 README.md 파일의 시작 부분에 명시 적으로 언급되어야하며 통신을위한 연락처 세부 정보는 SECURITY.md 파일에 제공되어야합니다.

GitHub는 일반적으로 이미 공개 된 취약성에 대한 보안 연구와 함께 게시 된 익스플로잇을 제거하지 않지만 (0 일이 아님) 이러한 서비스 중 및 실제 사용 위험이 여전히 있다고 생각되면 액세스를 제한 할 수있는 기능을 보유합니다. 공격 익스플로잇 GitHub 지원팀은 공격 코드 사용에 대한 불만을 접수했습니다.

변경 사항은 여전히 ​​초안 상태이며 30 일 동안 논의 할 수 있습니다.

출처 : https://github.blog/


코멘트를 첫번째로 올려

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.