GitHub féiert d'Reegele fir d'Publikatioun vu Sécherheetsforschungsresultater duerch

GitHub Logo

GitHub huet eng Rei Regelännerunge verëffentlecht, haaptsächlech d'Politik definéieren iwwer d'Location vun Exploiten an d'Resultater vun der Malware-Enquêtesouwéi d'Konformitéit mam aktuelle US Copyright Gesetz.

An der Verëffentlechung vun den neie Politikupdates ernimmen se datt se sech op den Ënnerscheed tëscht aktiv schiedlechen Inhalt konzentréieren, deen net op der Plattform erlaabt ass, a Code am Rescht als Ënnerstëtzung vu Sécherheetsforschung, wat wëllkomm a recommandéiert ass.

Dës Aktualiséierunge fokusséieren och op d'Ofdreiwung vun der Aart a Weis wéi mir Begrëffer wéi "exploitéieren", "Malware" an "Liwwerung" benotze fir Kloerheet vun eisen Erwaardungen an Intentiounen ze promoten. Mir hunn eng Pull Ufro fir ëffentlech Bemierkung opgemaach an d'Sécherheetsfuerscher an d'Entwéckler invitéieren mat eis op dës Erklärungen ze kollaboréieren an eis hëllefen d'Gemeinschaftsbedürfnisser besser ze verstoen.

Ënnert den Ännerungen déi mir fannen, sinn déi folgend Konditiounen zu den DMCA Konformitéitsregele bäigefüügt ginn, zousätzlech zum fréiere present Verdeelungsverbuet a garantéieren d'Installatioun oder d'Liwwerung vun aktive Malware an Ausnotzen:

Explizit Verbuet fir Technologien an de Repository ze placéieren fir technesch Schutzmëttelen ze ëmgoen Copyright, inklusiv Lizenzschlësselen, souwéi Programmer fir Schlësselen ze generéieren, Schlësselverifikatioun ze sprangen, an déi gratis Aarbechtsperiod ze verlängeren.

Op dëser gëtt erwähnt datt d'Prozedur agefouert gëtt fir eng Ufro fir d'Eliminatioun vum Code ze presentéieren. De Läschbewerber muss technesch Detailer ubidden, mat der uginn Intentioun d'Applikatioun fir d'Iwwerpréiwung virum Spär ofzeginn.
Andeems se de Repository blockéieren, verspriechen se d'Fäegkeet ze bidden fir Themen an Public Relations ze exportéieren, a legal Servicer ze bidden.
D'Exploitatioun an d'Malware Politik Ännerunge reflektéieren d'Kritik no der Entféierung vu Microsoft vun engem Prototyp Microsoft Exchange Ausbeutung benotzt fir Attacken auszeféieren. Déi nei Regele versichen de geféierlechen Inhalt explizit ze trennen benotzt fir aktiv Attacken auszeféieren vum Code deen der Sécherheetsuntersuchung begleet. Ännerunge gemaach:

Net nëmme GitHub Benotzer attackéieren ass verbueden Inhalt mat Exploiten ze publizéieren oder GitHub als Liwwerfahrt auszenotzen, wéi et virdru war, awer och béisaarteg Code publizéieren an Exploiten déi aktiv Attacke begleeden. Am Allgemengen ass et net verbueden Beispiller vun Exploiten ze publizéieren déi am Laf vu Sécherheetsstudien entwéckelt goufen an déi Schwachstelle beaflossen déi scho fixéiert sinn, awer et hänkt alles dovun of wéi de Begrëff "aktiv Attacken" interpretéiert gëtt.

Zum Beispill, all Form vu JavaScript Quellcode ze verëffentlechen deen de Browser attackéiert fällt ënner dëse Critèren: den Ugräifer verhënnert net datt den Ugräifer de Quellcode erofluet op de Browser vum Affer duerch ze sichen, automatesch ze flécken ob den Exploit Prototyp deen en an engem net benotzbaren verëffentlecht gëtt. Form, a lafen se.

Dat selwecht gëlt fir all anere Code, zum Beispill am C ++: näischt verhënnert datt et op der attackéierter Maschinn kompiléiert a leeft. Wann e Repository mat sou engem Code fonnt gëtt, ass et geplangt et net ze läschen, awer den Zougank dozou zouzemaachen.

Zousätzlech zu dësem gouf et derbäi:

  • Eng Klausel déi d'Méiglechkeet erkläert en Appel ze maachen am Fall vun der Desaccord mat der Blockade.
  • Eng Ufuerderung fir Repository Besëtzer déi potenziell geféierlech Inhalter als Deel vu Sécherheetsforschung hosten. D'Präsenz vun esou Inhalter muss am Ufank vun der README.md Date explizit ernimmt ginn, an d'Kontaktdetailer fir d'Kommunikatioun mussen an der SECURITY.md Date geliwwert ginn.

Et gëtt uginn datt GitHub normalerweis keng verëffentlecht Exploiten zesumme mat Sécherheetsstudie fir scho verëffentlecht Schwächen (net Dag 0) ewechhëlt, awer behält d'Fäegkeet den Zougang ze beschränken wann et der Meenung ass datt et nach ëmmer e Risiko ass fir dës In-Service an aktuell Attack-Exploiten ze benotzen. GitHub Support huet Reklamatioune kritt iwwer de Gebrauch vu Code fir Attacken.

D'Ännerunge sinn nach am Entworf Status, verfügbar fir Diskussioun fir 30 Deeg.

Source: https://github.blog/


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.