GitHub ievieš drošības pētījumu rezultātu publicēšanas noteikumus

GitHub logotips

GitHub ir izlaidis vairākas noteikumu izmaiņas, galvenokārt definējot politiku attiecībā uz izmantošanas vietu un ļaunprātīgas programmatūras izmeklēšanas rezultātiemkā arī atbilstību pašreizējam ASV Autortiesību likumam.

Jauno politikas atjauninājumu publikācijā viņi min, ka koncentrējas uz atšķirību starp aktīvi kaitīgu saturu, kas platformā nav atļauts, un miera režīmā, lai atbalstītu drošības izpēti, kas ir apsveicami un ieteicami.

Šie atjauninājumi koncentrējas arī uz tādu neskaidrību novēršanu, kā mēs lietojam tādus terminus kā “izmantot”, “ļaunprātīga programmatūra” un “piegāde”, lai veicinātu mūsu cerību un nodomu skaidrību. Mēs esam atvēruši pieprasījumu pēc publiskiem komentāriem un aicinājuši drošības pētniekus un izstrādātājus sadarboties ar mums saistībā ar šiem paskaidrojumiem un palīdzēt mums labāk izprast kopienas vajadzības.

Starp izmaiņām, kuras varam atrast, DMCA atbilstības noteikumiem papildus iepriekš spēkā esošajam aizliegumam izplatīt un garantēt aktīvas ļaunprātīgas programmatūras un izmantošanas instalēšanu vai piegādi ir pievienoti šādi nosacījumi:

Skaidrs aizliegums ievietot tehnoloģijas repozitorijā, lai apietu tehniskos aizsardzības līdzekļus autortiesības, ieskaitot licences atslēgas, kā arī programmas atslēgu ģenerēšanai, atslēgu verifikācijas izlaišanai un bezmaksas darba perioda pagarināšanai.

Šajā sakarā tiek minēts, ka tiek ieviesta procedūra, lai iesniegtu pieprasījumu par minētā koda atcelšanu. Svītrojuma iesniedzējam jāsniedz tehniska informācija, ar paziņoto nodomu iesniegt pieteikumu izskatīšanai pirms bloķēšanas.
Bloķējot repozitoriju, viņi sola nodrošināt iespēju eksportēt jautājumus un sabiedriskās attiecības un piedāvāt juridiskus pakalpojumus.
Ļaunprātīgas programmatūras un izmantošanas politikas izmaiņas atspoguļo kritiku, kas saistīta ar Microsoft noņemto prototipu Microsoft Exchange izmantot, ko izmanto uzbrukumu veikšanai. Jaunie noteikumi mēģina skaidri nošķirt bīstamo saturu, kas tiek izmantots aktīvu uzbrukumu veikšanai, no koda, kas pievienots drošības izmeklēšanai. Veiktās izmaiņas:

Ir aizliegts ne tikai uzbrukt GitHub lietotājiem publicējot saturu, izmantojot varoņdarbus vai izmantojot GitHub kā izmantošanas piegādes līdzekli, kā tas bija iepriekš bet arī publicē aktīvo uzbrukumu pavadīto ļaunprātīgo kodu un izmantojumus. Kopumā nav aizliegts publicēt drošības pētījumu laikā izstrādātu un jau novērstu ievainojamību ietekmējošu darbību piemērus, taču viss būs atkarīgs no tā, kā tiek interpretēts termins "aktīvi uzbrukumi".

Piemēram, jebkura veida JavaScript avota koda izlikšana, kas uzbrūk pārlūkam, ir pakļauta šiem kritērijiem: uzbrucējs neliedz uzbrucējam meklēt avota kodu upura pārlūkprogrammā, automātiski aizlāpot, vai ekspluatācijas prototips ir publicēts neizmantojamā vietā. formā, un darbojas.

Tas pats attiecas uz jebkuru citu kodu, piemēram, C ++: nekas neliedz to kompilēt un darboties uzbruktajā mašīnā. Ja tiek atrasts krātuve ar šādu kodu, tiek plānots to neizdzēst, bet gan slēgt piekļuvi tam.

Papildus tam tika pievienots:

  • Klauzula, kas izskaidro apelācijas iesniegšanas iespēju, ja nepiekrīt blokādei.
  • Prasība repozitoriju īpašniekiem, kuri drošības izpētes ietvaros mitina potenciāli bīstamu saturu. Šāda satura klātbūtne ir skaidri jānorāda faila README.md sākumā, un saziņas kontaktinformācija jānorāda failā SECURITY.md.

Tiek norādīts, ka GitHub parasti nenoņem publicētos izmantojumus kopā ar jau atklāto ievainojamību drošības pētījumiem (nevis 0. dienu), bet patur iespēju ierobežot piekļuvi, ja uzskata, ka joprojām pastāv risks izmantot šos pakalpojumā un reālajā dzīvē uzbrukums izmanto GitHub atbalsts ir saņēmis sūdzības par koda izmantošanu uzbrukumiem.

Izmaiņas joprojām ir melnraksta statusā un pieejamas diskusijai 30 dienas.

Fuente: https://github.blog/


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.