സുരക്ഷാ ഗവേഷണ ഫലങ്ങൾ പ്രസിദ്ധീകരിക്കുന്നതിനുള്ള നിയമങ്ങൾ GitHub നടപ്പിലാക്കുന്നു

GitHub ലോഗോ

GitHub നിരവധി റൂൾ‌ മാറ്റങ്ങൾ‌ പുറത്തിറക്കി, പ്രധാനമായും നയം നിർവചിക്കുന്നു ചൂഷണത്തിന്റെ സ്ഥാനം, ക്ഷുദ്രവെയർ അന്വേഷണ ഫലങ്ങൾ എന്നിവ സംബന്ധിച്ച്നിലവിലെ യുഎസ് പകർപ്പവകാശ നിയമത്തിന് അനുസൃതമായി.

പുതിയ നയ അപ്‌ഡേറ്റുകളുടെ പ്രസിദ്ധീകരണത്തിൽ, പ്ലാറ്റ്‌ഫോമിൽ അനുവദനീയമല്ലാത്ത സജീവമായി ഹാനികരമായ ഉള്ളടക്കവും സുരക്ഷാ ഗവേഷണത്തെ പിന്തുണയ്‌ക്കുന്ന വിശ്രമ കോഡും തമ്മിലുള്ള വ്യത്യാസത്തിൽ അവർ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു, അത് സ്വാഗതാർഹവും ശുപാർശ ചെയ്യുന്നതുമാണ്.

ഞങ്ങളുടെ പ്രതീക്ഷകളുടെയും ഉദ്ദേശ്യങ്ങളുടെയും വ്യക്തത പ്രോത്സാഹിപ്പിക്കുന്നതിന് "ചൂഷണം," "ക്ഷുദ്രവെയർ", "ഡെലിവറി" തുടങ്ങിയ പദങ്ങൾ ഉപയോഗിക്കുന്ന രീതിയിൽ അവ്യക്തത നീക്കം ചെയ്യുന്നതിലും ഈ അപ്‌ഡേറ്റുകൾ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു. എല്ലാവർക്കുമുള്ള അഭിപ്രായത്തിനായി ഞങ്ങൾ ഒരു പുൾ അഭ്യർത്ഥന തുറന്നിട്ടുണ്ട്, ഒപ്പം ഈ വിശദീകരണങ്ങളിൽ ഞങ്ങളുമായി സഹകരിക്കാനും കമ്മ്യൂണിറ്റി ആവശ്യങ്ങൾ നന്നായി മനസ്സിലാക്കാൻ സഹായിക്കാനും സുരക്ഷാ ഗവേഷകരെയും ഡവലപ്പർമാരെയും ക്ഷണിക്കുന്നു.

ഞങ്ങൾ‌ക്ക് കണ്ടെത്താൻ‌ കഴിയുന്ന മാറ്റങ്ങളിൽ‌, ഡി‌എം‌സി‌എ പാലിക്കൽ നിയമങ്ങളിൽ‌ ഇനിപ്പറയുന്ന നിബന്ധനകൾ‌ ചേർ‌ത്തു, മുമ്പ്‌ നിലവിലുള്ള വിതരണ നിരോധനം കൂടാതെ സജീവ ക്ഷുദ്രവെയറുകളുടെയും ചൂഷണങ്ങളുടെയും ഇൻസ്റ്റാളേഷൻ‌ അല്ലെങ്കിൽ‌ ഡെലിവറി ഉറപ്പ് നൽകുന്നു:

സാങ്കേതിക സംരക്ഷണ മാർഗ്ഗങ്ങൾ മറികടക്കാൻ സാങ്കേതികവിദ്യകൾ ശേഖരത്തിൽ സ്ഥാപിക്കുന്നതിനുള്ള വ്യക്തമായ വിലക്ക് പകർപ്പവകാശം, ലൈസൻസ് കീകൾ, അതുപോലെ തന്നെ കീകൾ സൃഷ്ടിക്കുന്നതിനുള്ള പ്രോഗ്രാമുകൾ, കീ പരിശോധന ഒഴിവാക്കുക, സ work ജന്യ ജോലി കാലയളവ് നീട്ടുക.

ഈ കോഡ് ഇല്ലാതാക്കുന്നതിനുള്ള അഭ്യർത്ഥന അവതരിപ്പിക്കുന്നതിനുള്ള നടപടിക്രമങ്ങൾ അവതരിപ്പിക്കുന്നുവെന്ന് ഇതിൽ പരാമർശിക്കുന്നു. ഇല്ലാതാക്കൽ അപേക്ഷകൻ സാങ്കേതിക വിശദാംശങ്ങൾ നൽകണം, ലോക്ക്ഡൗണിന് മുമ്പായി അവലോകനത്തിനായി അപേക്ഷ സമർപ്പിക്കാനുള്ള പ്രഖ്യാപിത ഉദ്ദേശ്യത്തോടെ.
റിപ്പോസിറ്ററി തടയുന്നതിലൂടെ, പ്രശ്നങ്ങളും പബ്ലിക് റിലേഷനുകളും കയറ്റുമതി ചെയ്യാനുള്ള കഴിവ് നൽകുമെന്നും നിയമ സേവനങ്ങൾ വാഗ്ദാനം ചെയ്യുമെന്നും അവർ വാഗ്ദാനം ചെയ്യുന്നു.
ആക്രമണങ്ങൾ നടത്താൻ ഉപയോഗിച്ച മൈക്രോസോഫ്റ്റ് എക്സ്ചേഞ്ച് ചൂഷണം മൈക്രോസോഫ്റ്റ് നീക്കം ചെയ്തതിനെത്തുടർന്ന് ക്ഷുദ്രവെയറും ചൂഷണ നയ മാറ്റങ്ങളും വിമർശനത്തെ പ്രതിഫലിപ്പിക്കുന്നു. സുരക്ഷാ അന്വേഷണത്തിനൊപ്പമുള്ള കോഡിൽ നിന്ന് സജീവമായ ആക്രമണങ്ങൾ നടത്താൻ ഉപയോഗിക്കുന്ന അപകടകരമായ ഉള്ളടക്കത്തെ വ്യക്തമായി വേർതിരിക്കാൻ പുതിയ നിയമങ്ങൾ ശ്രമിക്കുന്നു. വരുത്തിയ മാറ്റങ്ങൾ:

GitHub ഉപയോക്താക്കളെ ആക്രമിക്കുന്നത് മാത്രമല്ല നിരോധിച്ചിരിക്കുന്നത് ചൂഷണം ഉപയോഗിച്ച് ഉള്ളടക്കം പ്രസിദ്ധീകരിക്കുക അല്ലെങ്കിൽ മുമ്പത്തെപ്പോലെ GitHub ഒരു ചൂഷണ ഡെലിവറി വാഹനമായി ഉപയോഗിക്കുക, സജീവമായ ആക്രമണത്തിനൊപ്പം ക്ഷുദ്ര കോഡും ചൂഷണവും പ്രസിദ്ധീകരിക്കുക. പൊതുവേ, സുരക്ഷാ പഠനത്തിനിടയിൽ വികസിപ്പിച്ചെടുത്ത ചൂഷണങ്ങളുടെ ഉദാഹരണങ്ങൾ പ്രസിദ്ധീകരിക്കുന്നതും ഇതിനകം പരിഹരിച്ച കേടുപാടുകളെ ബാധിക്കുന്നതും നിരോധിച്ചിട്ടില്ല, എന്നാൽ ഇതെല്ലാം "സജീവ ആക്രമണങ്ങൾ" എന്ന പദം എങ്ങനെ വ്യാഖ്യാനിക്കപ്പെടുന്നു എന്നതിനെ ആശ്രയിച്ചിരിക്കും.

ഉദാഹരണത്തിന്, ബ്ര browser സറിനെ ആക്രമിക്കുന്ന ഏതെങ്കിലും തരത്തിലുള്ള ജാവാസ്ക്രിപ്റ്റ് സോഴ്സ് കോഡ് പോസ്റ്റുചെയ്യുന്നത് ഈ മാനദണ്ഡത്തിന് കീഴിലാണ്: ആക്രമണകാരി ഇരയുടെ ബ്ര browser സറിലേക്ക് സോഴ്സ് കോഡ് ഡ download ൺലോഡ് ചെയ്യുന്നതിൽ നിന്ന് ആക്രമണകാരിയെ തടയുന്നില്ല, അത് ഉപയോഗയോഗ്യമല്ലാത്ത രീതിയിൽ പ്രസിദ്ധീകരിച്ച ചൂഷണ പ്രോട്ടോടൈപ്പ് സ്വപ്രേരിതമായി പാച്ച് ചെയ്യുന്നു. ഫോം, പ്രവർത്തിക്കുന്നു.

മറ്റേതൊരു കോഡിനും ഇത് ബാധകമാണ്, ഉദാഹരണത്തിന് സി ++ ൽ: ആക്രമിച്ച മെഷീനിൽ കംപൈൽ ചെയ്യുന്നതിലും പ്രവർത്തിക്കുന്നതിലും ഒന്നും തടയുന്നില്ല. അത്തരം കോഡുള്ള ഒരു ശേഖരം കണ്ടെത്തിയാൽ, അത് ഇല്ലാതാക്കാനല്ല, അതിലേക്കുള്ള ആക്സസ് അടയ്ക്കാനാണ് പദ്ധതിയിട്ടിരിക്കുന്നത്.

ഇതിനുപുറമെ, ഇത് ചേർത്തു:

  • ഉപരോധവുമായി വിയോജിപ്പുണ്ടെങ്കിൽ അപ്പീൽ സമർപ്പിക്കാനുള്ള സാധ്യത വിശദീകരിക്കുന്ന ഒരു ഉപവാക്യം.
  • സുരക്ഷാ ഗവേഷണത്തിന്റെ ഭാഗമായി അപകടകരമായ ഉള്ളടക്കം ഹോസ്റ്റുചെയ്യുന്ന റിപ്പോസിറ്ററി ഉടമകൾക്കുള്ള ആവശ്യകത. അത്തരം ഉള്ളടക്കത്തിന്റെ സാന്നിധ്യം README.md ഫയലിന്റെ തുടക്കത്തിൽ‌ വ്യക്തമായി പരാമർശിക്കേണ്ടതുണ്ട്, കൂടാതെ ആശയവിനിമയത്തിനുള്ള കോൺ‌ടാക്റ്റ് വിശദാംശങ്ങൾ‌ SECURITY.md ഫയലിൽ‌ നൽ‌കേണ്ടതുണ്ട്.

ഇതിനകം വെളിപ്പെടുത്തിയ കേടുപാടുകൾക്കായുള്ള സുരക്ഷാ പഠനങ്ങളോടൊപ്പം പ്രസിദ്ധീകരിച്ച ചൂഷണങ്ങളും GitHub സാധാരണയായി നീക്കം ചെയ്യുന്നില്ലെന്ന് പ്രസ്താവിക്കുന്നു (ദിവസം 0 അല്ല), എന്നാൽ ഈ ഇൻ-സേവനവും യഥാർത്ഥ ലോകവും ഉപയോഗിക്കാൻ ഇപ്പോഴും അപകടസാധ്യതയുണ്ടെന്ന് തോന്നുകയാണെങ്കിൽ പ്രവേശനം നിയന്ത്രിക്കാനുള്ള കഴിവ് കരുതിവച്ചിരിക്കുന്നു. ആക്രമണ ചൂഷണങ്ങൾ ആക്രമണത്തിന് കോഡ് ഉപയോഗിക്കുന്നതിനെക്കുറിച്ചുള്ള പരാതികൾ GitHub പിന്തുണയ്ക്ക് ലഭിച്ചു.

മാറ്റങ്ങൾ ഇപ്പോഴും ഡ്രാഫ്റ്റ് നിലയിലാണ്, 30 ദിവസത്തേക്ക് ചർച്ചയ്ക്ക് ലഭ്യമാണ്.

ഉറവിടം: https://github.blog/


ലേഖനത്തിന്റെ ഉള്ളടക്കം ഞങ്ങളുടെ തത്ത്വങ്ങൾ പാലിക്കുന്നു എഡിറ്റോറിയൽ എത്തിക്സ്. ഒരു പിശക് റിപ്പോർട്ടുചെയ്യാൻ ക്ലിക്കുചെയ്യുക ഇവിടെ.

അഭിപ്രായമിടുന്ന ആദ്യയാളാകൂ

നിങ്ങളുടെ അഭിപ്രായം ഇടുക

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിച്ചു ചെയ്യില്ല. ആവശ്യമായ ഫീൽഡുകൾ കൊണ്ട് അടയാളപ്പെടുത്തുന്നു *

*

*

  1. ഡാറ്റയുടെ ഉത്തരവാദിത്തം: മിഗുവൽ ഏഞ്ചൽ ഗാറ്റൻ
  2. ഡാറ്റയുടെ ഉദ്ദേശ്യം: സ്പാം നിയന്ത്രിക്കുക, അഭിപ്രായ മാനേജുമെന്റ്.
  3. നിയമസാധുത: നിങ്ങളുടെ സമ്മതം
  4. ഡാറ്റയുടെ ആശയവിനിമയം: നിയമപരമായ ബാധ്യതയല്ലാതെ ഡാറ്റ മൂന്നാം കക്ഷികളുമായി ആശയവിനിമയം നടത്തുകയില്ല.
  5. ഡാറ്റ സംഭരണം: ഒസെന്റസ് നെറ്റ്‌വർക്കുകൾ (ഇയു) ഹോസ്റ്റുചെയ്യുന്ന ഡാറ്റാബേസ്
  6. അവകാശങ്ങൾ: ഏത് സമയത്തും നിങ്ങളുടെ വിവരങ്ങൾ പരിമിതപ്പെടുത്താനും വീണ്ടെടുക്കാനും ഇല്ലാതാക്കാനും കഴിയും.