GitHub aplica as regras para publicação de resultados de pesquisa de segurança

Logotipo do GitHub

O GitHub lançou uma série de mudanças nas regras, principalmente definindo a política em relação à localização de explorações e os resultados da investigação de malwarebem como conformidade com a atual Lei de Direitos Autorais dos Estados Unidos.

Na publicação das novas atualizações de política, eles mencionam que se concentram na diferença entre conteúdo ativamente nocivo, o que não é permitido na plataforma, e código em repouso para apoiar a pesquisa de segurança, o que é bem-vindo e recomendado.

Essas atualizações também se concentram na remoção da ambigüidade na maneira como usamos termos como "explorar", "malware" e "entrega" para promover a clareza de nossas expectativas e intenções. Abrimos uma solicitação pull para comentários públicos e convidamos pesquisadores e desenvolvedores de segurança para colaborar conosco nesses esclarecimentos e nos ajudar a entender melhor as necessidades da comunidade.

Entre as alterações que podemos encontrar, as seguintes condições foram adicionadas às regras de conformidade DMCA, além da proibição de distribuição anteriormente presente e garantindo a instalação ou entrega de malware ativo e exploits:

Proibição explícita de colocar tecnologias no repositório para contornar os meios técnicos de proteção direitos autorais, incluindo chaves de licença, bem como programas para gerar chaves, ignorar a verificação de chaves e estender o período de trabalho gratuito.

A este respeito, refere-se que está a ser introduzido o procedimento de apresentação de pedido de eliminação do referido código. O requerente da exclusão deve fornecer detalhes técnicos, com a intenção declarada de enviar o aplicativo para revisão antes do bloqueio.
Ao bloquear o repositório, eles prometem fornecer a capacidade de exportar questões e relações públicas, além de oferecer serviços jurídicos.
As alterações na política de malware e exploit refletem as críticas após a remoção da Microsoft de um protótipo de exploit do Microsoft Exchange usado para realizar ataques. As novas regras tentam separar explicitamente o conteúdo perigoso usado para realizar ataques ativos do código que acompanha a investigação de segurança. Alterações feitas:

Não apenas atacar usuários do GitHub é proibido publicar conteúdo com exploits ou usar o GitHub como um veículo de entrega de exploits, como era antes, mas também publica código malicioso e explorações que acompanham ataques ativos. Em geral, não é proibido publicar exemplos de exploits desenvolvidos no decorrer dos estudos de segurança e que afetam vulnerabilidades já corrigidas, mas tudo dependerá de como o termo "ataques ativos" será interpretado.

Por exemplo, postar em qualquer forma de código-fonte JavaScript que ataca o navegador se enquadra neste critério: o invasor não impede que o invasor baixe o código-fonte para o navegador da vítima pesquisando, corrigindo automaticamente se o protótipo de exploração foi publicado em um formulário inutilizável e executando-o.

O mesmo vale para qualquer outro código, por exemplo em C ++: nada o impede de compilar e rodar na máquina atacada. Se um repositório com esse código for encontrado, não está planejado excluí-lo, mas sim fechar o acesso a ele.

Além disso, foi adicionado:

  • Cláusula que explica a possibilidade de interposição de recurso em caso de desacordo com o bloqueio.
  • Um requisito para proprietários de repositórios que hospedam conteúdo potencialmente perigoso como parte da pesquisa de segurança. A presença de tal conteúdo deve ser explicitamente mencionada no início do arquivo README.md, e os dados de contato para a comunicação devem ser fornecidos no arquivo SECURITY.md.

Afirma-se que o GitHub geralmente não remove exploits publicados junto com os estudos de segurança para vulnerabilidades já divulgadas (não no dia 0), mas reserva-se a capacidade de restringir o acesso se achar que ainda há um risco de usar estes exploits de ataque O suporte do GitHub recebeu reclamações sobre o uso de código para ataques.

As alterações ainda estão em estado de rascunho, disponíveis para discussão por 30 dias.

fonte: https://github.blog/


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.