O GitHub lançou uma série de mudanças nas regras, principalmente definindo a política em relação à localização de explorações e os resultados da investigação de malwarebem como conformidade com a atual Lei de Direitos Autorais dos Estados Unidos.
Na publicação das novas atualizações de política, eles mencionam que se concentram na diferença entre conteúdo ativamente nocivo, o que não é permitido na plataforma, e código em repouso para apoiar a pesquisa de segurança, o que é bem-vindo e recomendado.
Essas atualizações também se concentram na remoção da ambigüidade na maneira como usamos termos como "explorar", "malware" e "entrega" para promover a clareza de nossas expectativas e intenções. Abrimos uma solicitação pull para comentários públicos e convidamos pesquisadores e desenvolvedores de segurança para colaborar conosco nesses esclarecimentos e nos ajudar a entender melhor as necessidades da comunidade.
Entre as alterações que podemos encontrar, as seguintes condições foram adicionadas às regras de conformidade DMCA, além da proibição de distribuição anteriormente presente e garantindo a instalação ou entrega de malware ativo e exploits:
Proibição explícita de colocar tecnologias no repositório para contornar os meios técnicos de proteção direitos autorais, incluindo chaves de licença, bem como programas para gerar chaves, ignorar a verificação de chaves e estender o período de trabalho gratuito.
A este respeito, refere-se que está a ser introduzido o procedimento de apresentação de pedido de eliminação do referido código. O requerente da exclusão deve fornecer detalhes técnicos, com a intenção declarada de enviar o aplicativo para revisão antes do bloqueio.
Ao bloquear o repositório, eles prometem fornecer a capacidade de exportar questões e relações públicas, além de oferecer serviços jurídicos.
As alterações na política de malware e exploit refletem as críticas após a remoção da Microsoft de um protótipo de exploit do Microsoft Exchange usado para realizar ataques. As novas regras tentam separar explicitamente o conteúdo perigoso usado para realizar ataques ativos do código que acompanha a investigação de segurança. Alterações feitas:
Não apenas atacar usuários do GitHub é proibido publicar conteúdo com exploits ou usar o GitHub como um veículo de entrega de exploits, como era antes, mas também publica código malicioso e explorações que acompanham ataques ativos. Em geral, não é proibido publicar exemplos de exploits desenvolvidos no decorrer dos estudos de segurança e que afetam vulnerabilidades já corrigidas, mas tudo dependerá de como o termo "ataques ativos" será interpretado.
Por exemplo, postar em qualquer forma de código-fonte JavaScript que ataca o navegador se enquadra neste critério: o invasor não impede que o invasor baixe o código-fonte para o navegador da vítima pesquisando, corrigindo automaticamente se o protótipo de exploração foi publicado em um formulário inutilizável e executando-o.
O mesmo vale para qualquer outro código, por exemplo em C ++: nada o impede de compilar e rodar na máquina atacada. Se um repositório com esse código for encontrado, não está planejado excluí-lo, mas sim fechar o acesso a ele.
Além disso, foi adicionado:
- Cláusula que explica a possibilidade de interposição de recurso em caso de desacordo com o bloqueio.
- Um requisito para proprietários de repositórios que hospedam conteúdo potencialmente perigoso como parte da pesquisa de segurança. A presença de tal conteúdo deve ser explicitamente mencionada no início do arquivo README.md, e os dados de contato para a comunicação devem ser fornecidos no arquivo SECURITY.md.
Afirma-se que o GitHub geralmente não remove exploits publicados junto com os estudos de segurança para vulnerabilidades já divulgadas (não no dia 0), mas reserva-se a capacidade de restringir o acesso se achar que ainda há um risco de usar estes exploits de ataque O suporte do GitHub recebeu reclamações sobre o uso de código para ataques.
As alterações ainda estão em estado de rascunho, disponíveis para discussão por 30 dias.
fonte: https://github.blog/