GitHub ka lëshuar një numër ndryshimesh të rregullave, kryesisht duke përcaktuar politikën në lidhje me vendndodhjen e shfrytëzimeve dhe rezultatet e hetimit të malwaresi dhe pajtueshmërinë me Ligjin aktual të SH.B.A.-së për të Drejtat e Autorit.
Në botimin e azhurnimeve të politikave të reja, ata përmendin se ato përqendrohen në ndryshimin midis përmbajtjes së dëmshme aktive, e cila nuk lejohet në platformë dhe kodit në qetësi në mbështetje të kërkimit të sigurisë, i cili është i mirëseardhur dhe i rekomanduar.
Këto azhurnime përqendrohen gjithashtu në heqjen e paqartësisë në mënyrën se si ne përdorim terma të tillë si "shfrytëzimi", "malware" dhe "shpërndarja" për të promovuar qartësinë e pritjeve dhe synimeve tona. Ne kemi hapur një kërkesë tërheqëse për komente publike dhe ftojmë studiues dhe zhvillues të sigurisë të bashkëpunojnë me ne për këto sqarime dhe të na ndihmojnë të kuptojmë më mirë nevojat e komunitetit.
Ndër ndryshimet që mund të gjejmë, kushtet e mëposhtme janë shtuar në rregullat e pajtueshmërisë së DMCA, përveç ndalimit të shpërndarjes së tanishme dhe garantimit të instalimit ose shpërndarjes së malware dhe shfrytëzimeve aktive:
Ndalimi i qartë i vendosjes së teknologjive në depo për të anashkaluar mjetet teknike të mbrojtjes e drejta e autorit, përfshirë çelësat e licencës, si dhe programet për gjenerimin e çelësave, kapërcimin e verifikimit të çelësit dhe zgjatjen e periudhës së punës falas.
Për këtë përmendet se po futet procedura për të paraqitur një kërkesë për eliminimin e kodit në fjalë. Aplikuesi për fshirje duhet të sigurojë detaje teknike, me qëllimin e deklaruar të paraqitjes së kërkesës për shqyrtim përpara bllokimit.
Duke bllokuar depon, ata premtojnë të sigurojnë aftësinë për të eksportuar çështje dhe marrëdhënie me publikun dhe të ofrojnë shërbime ligjore.
Ndryshimet e politikës së shfrytëzimit dhe malware pasqyrojnë kritikat pas heqjes nga Microsoft të një prototipi të shfrytëzimit Microsoft Exchange i përdorur për të kryer sulme. Rregullat e reja përpiqen të ndajnë qartë përmbajtjen e rrezikshme të përdorur për të kryer sulme aktive nga kodi që shoqëron hetimin e sigurisë. Ndryshimet e bëra:
Forbiddenshtë e ndaluar jo vetëm të sulmosh përdoruesit e GitHub botimi i përmbajtjes me shfrytëzime ose përdorimi i GitHub si një mjet shpërndarës shfrytëzimi, siç ishte më parë, por gjithashtu publikojnë kodin dhe shfrytëzimet e dëmshme që shoqërojnë sulmet aktive. Në përgjithësi, nuk është e ndaluar të botohen shembuj të shfrytëzimeve të zhvilluara gjatë studimeve të sigurisë dhe që prekin dobësitë që janë rregulluar tashmë, por gjithçka do të varet nga mënyra se si interpretohet termi "sulme aktive".
Për shembull, postimi i çdo forme të kodit burimor JavaScript që sulmon shfletuesin bie nën këto kritere: sulmuesi nuk e ndalon sulmuesin nga shkarkimi i kodit burimor në shfletuesin e viktimës duke kërkuar, automatikisht duke rregulluar nëse prototipi i shfrytëzimit është botuar në një të papërdorshme formë, dhe drejtimin e tij.
E njëjta gjë vlen për çdo kod tjetër, për shembull në C ++: asgjë nuk e ndalon atë nga përpilimi dhe ekzekutimi në makinerinë e sulmuar. Nëse gjendet një depo me një kod të tillë, është planifikuar të mos e fshini atë, por të mbyllni hyrjen në të.
Përveç kësaj, u shtua:
- Një klauzolë që shpjegon mundësinë e paraqitjes së një apeli në rast mosmarrëveshjeje me bllokimin.
- Një kërkesë për pronarët e depove që mbajnë përmbajtje potencialisht të rrezikshme si pjesë e hulumtimit të sigurisë. Prania e një përmbajtje të tillë duhet të përmendet qartë në fillim të skedarit README.md, dhe detajet e kontaktit për komunikimin duhet të jepen në skedarin SECURITY.md.
Pretendohet që GitHub në përgjithësi nuk heq shfrytëzimet e publikuara së bashku me studimet e sigurisë për dobësitë e zbuluara tashmë (jo dita 0), por rezervon mundësinë për të kufizuar hyrjen nëse mendon se ekziston ende një rrezik i përdorimit të këtyre shfrytëzimeve për sulme aktuale dhe në -shërbimi mbështetja e GitHub ka marrë ankesa në lidhje me përdorimin e kodit për sulme.
Ndryshimet janë ende në statusin e draftit, të disponueshëm për diskutim për 30 ditë.
Fuente: https://github.blog/