GitHub menguatkuasakan peraturan untuk menerbitkan hasil penyelidikan keselamatan

Darkcrizt

Minit 4

Logo GitHub

GitHub telah mengeluarkan sejumlah perubahan peraturan, terutamanya menentukan dasar mengenai lokasi eksploitasi dan hasil penyelidikan malwareserta pematuhan dengan Undang-undang Hak Cipta AS semasa.

Dalam penerbitan kemas kini dasar baru, mereka menyebutkan bahawa mereka memusatkan perhatian pada perbezaan antara kandungan berbahaya yang aktif, yang tidak dibenarkan di platform, dan kod ketika berehat untuk menyokong penyelidikan keselamatan, yang sangat dialu-alukan dan disyorkan.

Kemas kini ini juga menumpukan pada menghilangkan kekaburan dalam cara kita menggunakan istilah seperti "eksploitasi," "perisian hasad," dan "penyampaian" untuk mempromosikan kejelasan harapan dan niat kita. Kami telah membuka permintaan menarik untuk komen orang ramai dan menjemput penyelidik keselamatan dan pembangun untuk bekerjasama dengan kami mengenai penjelasan ini dan membantu kami memahami keperluan masyarakat dengan lebih baik.

Di antara perubahan yang dapat kita dapati, syarat-syarat berikut telah ditambahkan pada peraturan pematuhan DMCA, selain larangan pengedaran dan jaminan pemasangan atau pengiriman malware dan eksploitasi aktif yang sebelumnya ada:

Larangan tegas meletakkan teknologi di repositori untuk mengelakkan kaedah perlindungan teknikal hak cipta, termasuk kunci lesen, serta program untuk menghasilkan kunci, melangkau pengesahan kunci, dan memperpanjang tempoh kerja percuma.

Mengenai hal ini disebutkan bahwa prosedur sedang diperkenalkan untuk menyampaikan permintaan penghapusan kode tersebut. Pemohon penghapusan mesti memberikan butiran teknikal, dengan tujuan yang dinyatakan untuk mengemukakan permohonan untuk semakan sebelum penutupan.
Dengan menyekat repositori, mereka berjanji untuk memberikan kemampuan untuk mengeksport masalah dan hubungan masyarakat, dan menawarkan perkhidmatan hukum.
Perubahan perisian hasad dan eksploitasi mencerminkan kritikan berikutan penghapusan Microsoft dari prototaip eksploitasi Microsoft Exchange yang digunakan untuk melakukan serangan. Peraturan baru ini berusaha secara jelas untuk memisahkan kandungan berbahaya yang digunakan untuk melakukan serangan aktif dari kod yang menyertai penyelidikan keselamatan. Perubahan yang dibuat:

Bukan sahaja menyerang pengguna GitHub dilarang menerbitkan kandungan dengan eksploitasi atau menggunakan GitHub sebagai kenderaan penghantaran eksploitasi, seperti sebelumnya, tetapi juga menerbitkan kod jahat dan eksploitasi yang menyertai serangan aktif. Secara umum, tidak dilarang untuk menerbitkan contoh eksploitasi yang dikembangkan dalam kajian keselamatan dan mempengaruhi kerentanan yang telah diperbaiki, tetapi semuanya akan bergantung pada bagaimana istilah "serangan aktif" ditafsirkan.

Sebagai contoh, menyiarkan sebarang bentuk kod sumber JavaScript yang menyerang penyemak imbas berada di bawah kriteria ini: penyerang tidak menghalang penyerang memuat turun kod sumber ke penyemak imbas mangsa dengan mencari, secara automatik menambal sama ada prototaip eksploitasi yang diterbitkan secara tidak dapat digunakan bentuk, dan berjalan.

Perkara yang sama berlaku untuk kod lain, misalnya di C ++: tidak ada yang menghalangnya daripada menyusun dan berjalan pada mesin yang diserang. Sekiranya terdapat repositori dengan kod seperti itu, dirancang untuk tidak menghapusnya, tetapi untuk menutup akses ke dalamnya.

Di samping itu, ia ditambahkan:

  • Klausa yang menjelaskan kemungkinan mengajukan banding sekiranya tidak setuju dengan sekatan.
  • Syarat untuk pemilik repositori mengehoskan kandungan yang berpotensi berbahaya sebagai sebahagian daripada penyelidikan keselamatan. Kehadiran kandungan tersebut mesti disebutkan secara eksplisit pada awal fail README.md, dan maklumat hubungan untuk komunikasi mesti diberikan dalam fail SECURITY.md.

Telah dinyatakan bahawa GitHub pada umumnya tidak menghapus eksploitasi yang diterbitkan bersama dengan kajian keselamatan untuk kerentanan yang telah didedahkan (bukan hari ke-0), tetapi mempunyai kemampuan untuk menyekat akses jika merasa masih ada risiko menggunakan In-service dan dunia nyata ini serangan mengeksploitasi GitHub sokongan telah menerima aduan mengenai penggunaan kod untuk serangan.

Perubahan masih dalam status draf, tersedia untuk perbincangan selama 30 hari.

Fuente: https://github.blog/


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.