GitHub выпустил ряд изменений правил, в основном определяя политику о местонахождении эксплойтов и результатах расследования вредоносных программа также соблюдение действующего Закона США об авторском праве.
В публикации новых обновлений политики они упоминают, что основное внимание уделяется разнице между активно вредоносным контентом, который запрещен на платформе, и неактивным кодом в поддержку исследований безопасности, что приветствуется и рекомендуется.
Эти обновления также направлены на устранение двусмысленности в использовании таких терминов, как «эксплойт», «вредоносное ПО» и «доставка», чтобы обеспечить ясность наших ожиданий и намерений. Мы открыли пул-реквест для общественного обсуждения и приглашаем исследователей и разработчиков в области безопасности сотрудничать с нами над этими разъяснениями и помочь нам лучше понять потребности сообщества.
Среди изменений, которые мы можем найти, следующие условия были добавлены в правила соответствия DMCA в дополнение к ранее существовавшему запрету на распространение и гарантии установки или доставки активных вредоносных программ и эксплойтов:
Явный запрет на размещение технологий в репозитории для обхода технических средств защиты авторские права, включая лицензионные ключи, а также программы для генерации ключей, пропуска проверки ключа и продления периода бесплатной работы.
При этом отмечается, что вводится процедура подачи запроса на устранение указанного кода. Заявитель на удаление должен предоставить технические данные, с заявленным намерением подать заявку на рассмотрение до блокировки.
Блокируя репозиторий, они обещают предоставить возможность экспортировать проблемы и связи с общественностью, а также предложить юридические услуги.
Изменения в политике вредоносных программ и эксплойтов отражают критику после удаления Microsoft прототипа эксплойта Microsoft Exchange, используемого для проведения атак. Новые правила пытаются явно отделить опасный контент, используемый для проведения активных атак, от кода, сопровождающего расследование безопасности. Внесены изменения:
Запрещено атаковать не только пользователей GitHub публикация контента с эксплойтами или использование GitHub в качестве средства доставки эксплойтов, как это было раньше, но также публиковать вредоносный код и эксплойты, сопровождающие активные атаки. В общем, не запрещено публиковать примеры эксплойтов, разработанных в ходе исследований безопасности и затрагивающих уже исправленные уязвимости, но все будет зависеть от того, как интерпретируется термин «активные атаки».
Например, публикация в любой форме исходного кода JavaScript, который атакует браузер, подпадает под следующие критерии: злоумышленник не мешает злоумышленнику загрузить исходный код в браузер жертвы путем поиска, автоматически исправляя, опубликован ли прототип эксплойта в непригодная для использования форма и ее запуск.
То же самое и с любым другим кодом, например на C ++: ничто не мешает ему скомпилировать и запустить на атакованной машине. Если будет обнаружен репозиторий с таким кодом, его планируется не удалять, а закрыть доступ к нему.
В дополнение к этому было добавлено:
- Пункт, объясняющий возможность подачи апелляции в случае несогласия с блокадой.
- Требование к владельцам репозиториев, размещающих потенциально опасный контент в рамках исследования безопасности. Наличие такого содержимого должно быть явно указано в начале файла README.md, а контактные данные для связи должны быть предоставлены в файле SECURITY.md.
Утверждается, что GitHub обычно не удаляет опубликованные эксплойты вместе с исследованиями безопасности для уже обнаруженных уязвимостей (не день 0), но оставляет за собой возможность ограничить доступ, если он считает, что все еще существует риск использования этих уязвимостей в эксплуатации и в реальном мире. эксплойты атак В службу поддержки GitHub поступали жалобы на использование кода для атак.
Изменения все еще находятся в стадии черновика и доступны для обсуждения в течение 30 дней.
источник: https://github.blog/