ГитХуб је објавио бројне промене правила, углавном дефинишући политику у вези са локацијом експлоатација и резултатима истраге малверакао и усклађеност са важећим америчким Законом о ауторским правима.
У публикацији нових ажурирања смерница помињу да се фокусирају на разлику између активно штетног садржаја који није дозвољен на платформи и кода који мирује у знак подршке истраживањима безбедности, што је добродошло и препоручено.
Ова ажурирања су такође усредсређена на уклањање двосмислености у начину на који користимо изразе попут „искоришћавање“, „малвер“ и „испорука“ да бисмо промовисали јасноћу наших очекивања и намера. Отворили смо захтев за јавни коментар и позвали истраживаче безбедности и програмере да сарађују са нама на овим објашњењима и помогну нам да боље разумемо потребе заједнице.
Међу променама које можемо да пронађемо, следећи услови су додати правилима о усклађености са ДМЦА, поред раније присутне забране дистрибуције и гарантовања инсталације или испоруке активног малвера и експлоатација:
Изричита забрана постављања технологија у спремиште за заобилажење техничких средстава заштите ауторска права, укључујући лиценцне кључеве, као и програме за генерисање кључева, прескакање верификације кључева и продужење бесплатног периода рада.
На овом месту се помиње да се уводи поступак за подношење захтева за уклањање наведеног кода. Подносилац захтева за брисање мора доставити техничке детаље, са наведеном намером да поднесе захтев за преглед пре закључавања.
Блокирањем спремишта, они обећавају да ће пружити могућност извоза питања и односа с јавношћу, и пружају правне услуге.
Промене у смерницама за малвер и експлоатацију одражавају критике након што је Мицрософт уклонио прототип Мицрософт Екцханге екплоит-а који се користи за извршавање напада. Нова правила покушавају изричито одвојити опасни садржај који се користи за извођење активних напада од кода који прати безбедносну истрагу. Направљене промене:
Забрањено је не само нападање корисника ГитХуб-а објављивање садржаја са екплоит-има или коришћење ГитХуб-а као екплоит-а, као што је то било раније, али такође објављују злонамерни код и експлоат који прате активне нападе. Генерално, није забрањено објављивање примера експлоатација развијених током сигурносних студија и који утичу на рањивости које су већ отклоњене, али све ће зависити од тога како се појам „активни напади“ тумачи.
На пример, објављивање у било ком облику ЈаваСцрипт кода који напада прегледач потпада под ове критеријуме: нападач не спречава нападача да преузме изворни код у претраживач жртве претраживањем, аутоматски закрпајући да ли је експлоатацијски прототип објављен у неупотребљива форма и покретање.
Исто важи и за било који други код, на пример у Ц ++: ништа га не спречава да се компајлира и покрене на нападнутој машини. Ако се пронађе спремиште са таквим кодом, планира се да га не избришете, већ да му затворите приступ.
Уз ово је додато:
- Клаузула која објашњава могућност улагања жалбе у случају неслагања са блокадом.
- Захтев за власнике спремишта који смештају потенцијално опасне садржаје као део сигурносних истраживања. Присуство таквог садржаја мора бити изричито наведено на почетку датотеке РЕАДМЕ.мд, а детаљи за комуникацију морају бити наведени у датотеци СЕЦУРИТИ.мд.
Наводи се да ГитХуб генерално не уклања објављене експлоатације заједно са сигурносним студијама за већ откривене рањивости (не дан 0), али задржава могућност ограничавања приступа ако сматра да и даље постоји ризик од коришћења ових услуга и стварног света напад искориштава ГитХуб подршка примила је жалбе због употребе кода за нападе.
Измене су и даље у нацрту, доступне за расправу 30 дана.
izvor: https://github.blog/