„GitHub“ išleido daugybę taisyklių pakeitimų, daugiausia apibrėžiantis politiką dėl išnaudojimų vietos ir kenkėjiškų programų tyrimo rezultatųtaip pat dabartinių JAV autorių teisių įstatymų laikymasis.
Paskelbdami naujus politikos naujinius, jie mini, kad daugiausia dėmesio skiria skirtumui tarp aktyviai kenksmingo turinio, kuris neleidžiamas platformoje, ir ramybės kodo, palaikančio saugumo tyrimus, kuris yra sveikintinas ir rekomenduojamas.
Šie atnaujinimai taip pat skirti pašalinti neaiškumus, kaip mes naudojame tokius terminus kaip „išnaudoti“, „kenkėjiškos programos“ ir „pristatymas“, kad būtų aiškiau išdėstyti mūsų lūkesčiai ir ketinimai. Mes atidavėme viešųjų komentarų užklausą ir pakvietėme saugumo tyrėjus ir kūrėjus bendradarbiauti su mumis dėl šių paaiškinimų ir padėti mums geriau suprasti bendruomenės poreikius.
Tarp pakeitimų, kuriuos galime rasti, prie DMCA atitikties taisyklių buvo pridėtos šios sąlygos, be anksčiau galiojusio platinimo draudimo ir aktyvios kenkėjiškos programos bei išnaudojimo diegimo ar pristatymo garantijos:
Aiškus draudimas talpinti technologijas į saugyklą, siekiant apeiti technines apsaugos priemones autorių teises, įskaitant licencijos raktus, taip pat raktų generavimo, raktų patikrinimo praleidimo ir nemokamo darbo laikotarpio pratęsimo programas.
Šiuo klausimu paminėta, kad yra įvedama procedūra pateikti prašymą pašalinti minėtą kodą. Panaikinimo pareiškėjas turi pateikti techninę informaciją, su pareikšta ketinimu pateikti prašymą peržiūrėti iki užrakinimo.
Užblokuodami saugyklą jie žada suteikti galimybę eksportuoti klausimus ir viešuosius ryšius bei pasiūlyti teisines paslaugas.
Išnaudojimo ir kenkėjiškų programų politikos pokyčiai atspindi kritiką, kai „Microsoft“ pašalino „Microsoft Exchange“ išnaudojimo prototipą, naudojamą atakoms vykdyti. Naujosiomis taisyklėmis bandoma aiškiai atskirti pavojingą turinį, naudojamą aktyvioms atakoms vykdyti, nuo saugumo tyrimą lydinčio kodo. Atlikti pakeitimai:
Draudžiama ne tik pulti „GitHub“ vartotojus skelbiant turinį naudojant išnaudojimus arba naudojant „GitHub“ kaip išnaudojimo pristatymo priemonę, kaip buvo anksčiau, bet taip pat skelbia kenkėjišką kodą ir išnaudojimus, lydinčius aktyvias atakas. Apskritai nėra draudžiama skelbti išnaudojimų, sukurtų atliekant saugumo tyrimus, pavyzdžių, kurie daro įtaką jau pašalintoms spragoms, tačiau viskas priklausys nuo to, kaip bus aiškinamas terminas „aktyvūs išpuoliai“.
Pvz., Bet kokios naršyklę atakuojančios „JavaScript“ šaltinio kodo paskelbimas atitinka šiuos kriterijus: užpuolikas netrukdo užpuolikui ieškant atsisiųsti šaltinio kodą į aukos naršyklę, automatiškai užtaisant, ar jo eksploatacijos prototipas paskelbtas netinkamoje naudoti. formą ir ją paleisti.
Tas pats pasakytina ir apie bet kurį kitą kodą, pavyzdžiui, C ++: niekas netrukdo jam kompiliuoti ir paleisti užpultoje mašinoje. Jei randama saugykla su tokiu kodu, planuojama jo neištrinti, bet uždaryti prieigą prie jo.
Be to, jis buvo pridėtas:
- Sąlyga, paaiškinanti galimybę pateikti apeliaciją, jei nesutinkama su blokada.
- Reikalavimas saugyklų savininkams, kurie, vykdydami saugumo tyrimus, talpina potencialiai pavojingą turinį. Tokio turinio buvimas turi būti aiškiai paminėtas failo README.md pradžioje, o kontaktiniai duomenys ryšiui turi būti nurodyti faile SECURITY.md.
Teigiama, kad „GitHub“ paprastai nepašalina paskelbtų išnaudojimų kartu su jau paskelbtais pažeidžiamumo saugumo tyrimais (ne 0 diena), tačiau pasilieka galimybę apriboti prieigą, jei mano, kad vis dar kyla pavojus naudoti šiuos tarnybinius ir realius. „GitHub“ palaikymas gavo skundų dėl kodo naudojimo atakoms.
Pakeitimai vis dar yra juodraščio būsenos, kuriuos galima aptarti 30 dienų.
Fuente: https://github.blog/