GitHub je izdal številne spremembe pravil, ki v glavnem opredeljuje politiko glede lokacije izkoriščanja in rezultatov preiskave zlonamerne programske opremekot tudi skladnost z veljavno zakonodajo ZDA o avtorskih pravicah.
V objavi novih posodobitev pravilnikov omenjajo, da se osredotočajo na razliko med aktivno škodljivo vsebino, ki na platformi ni dovoljena, in mirovalno kodo v podporo raziskavam na področju varnosti, kar je dobrodošlo in priporočljivo.
Te posodobitve se osredotočajo tudi na odstranjevanje dvoumnosti v načinu, kako uporabljamo izraze, kot so "izkoriščanje", "zlonamerna programska oprema" in "dostava", da bi spodbudili jasnost naših pričakovanj in namenov. Odprli smo zahtevo za javno komentiranje in vabimo raziskovalce in razvijalce varnosti, da pri teh pojasnilih sodelujejo z nami in nam pomagajo bolje razumeti potrebe skupnosti.
Med spremembami, ki jih najdemo, so bili poleg prej veljavne prepovedi distribucije in zagotavljanja namestitve ali dostave aktivne zlonamerne programske opreme in izkoriščanja pravil o skladnosti z DMCA dodani naslednji pogoji:
Izrecna prepoved dajanja tehnologij v odlagališče za izogibanje tehničnim zaščitnim sredstvom avtorske pravice, vključno z licenčnimi ključi, pa tudi programi za ustvarjanje ključev, preskakovanje preverjanja ključev in podaljšanje obdobja prostega dela.
Glede tega se omenja, da se uvaja postopek za predložitev zahteve za odpravo omenjene kode. Vlagatelj za izbris mora predložiti tehnične podrobnosti, z navedenim namenom, da vlogo vloži v pregled pred zaklepanjem.
Z blokado skladišča obljubljajo, da bodo omogočili izvoz vprašanj in odnosov z javnostmi ter ponudili pravne storitve.
Spremembe pravilnika o izkoriščanju in zlonamerni programski opremi odražajo kritike po Microsoftovi odstranitvi prototipa Microsoft Exchange, ki se uporablja za izvajanje napadov. Nova pravila poskušajo izrecno ločiti nevarno vsebino, ki se uporablja za izvajanje aktivnih napadov, od kode, ki spremlja varnostno preiskavo. Spremembe:
Prepovedan je samo napad na uporabnike GitHub objavljanje vsebin z izkoriščanjem ali uporabo GitHub-a kot dostavnega sredstva za izkoriščanje, kot je bilo prej, objavljajo pa tudi zlonamerno kodo in podvige, ki spremljajo aktivne napade. Na splošno ni prepovedano objavljati primerov podvigov, razvitih med varnostnimi študijami, ki vplivajo na že odpravljene ranljivosti, vendar bo vse odvisno od tega, kako se razlaga izraz "aktivni napadi".
Na primer, objava katere koli oblike izvorne kode JavaScript, ki napada brskalnik, spada pod ta merila: napadalec ne preprečuje, da bi z iskanjem samodejno popravil izvorno kodo v brskalnik žrtve in samodejno popravil, ali je prototip izkoriščanja objavljen v neuporabni obliki. obliki in jo zaženete.
Enako velja za katero koli drugo kodo, na primer v jeziku C ++: nič ji ne preprečuje prevajanja in izvajanja na napadenem računalniku. Če se najde repozitorij s takšno kodo, se načrtuje, da ga ne izbrišemo, temveč zapremo dostop do njega.
Poleg tega je bilo dodano:
- Klavzula, ki pojasnjuje možnost vložitve pritožbe v primeru nestrinjanja z blokado.
- Zahteva za lastnike skladišč, ki kot del varnostnih raziskav gostijo potencialno nevarno vsebino. Prisotnost takšne vsebine mora biti izrecno navedena na začetku datoteke README.md, kontaktni podatki za komunikacijo pa morajo biti navedeni v datoteki SECURITY.md.
Navedeno je, da GitHub na splošno ne odstrani objavljenih podvigov, skupaj z varnostnimi študijami za že razkrite ranljivosti (ne dan 0), ampak si pridržuje možnost omejevanja dostopa, če meni, da še vedno obstaja nevarnost uporabe teh izkoriščanj v dejanskem in dejanskem napadu Podpora GitHub je prejela pritožbe glede uporabe kode za napade.
Spremembe so še vedno v osnutku in so na voljo za razpravo 30 dni.
vir: https://github.blog/