GitHub verkställer reglerna för publicering av säkerhetsforskningsresultat

GitHub-logotyp

GitHub har släppt ett antal regeländringar, som huvudsakligen definierar policyn angående placeringen av exploateringar och resultaten av malwareutredningensamt överensstämmelse med gällande amerikansk upphovsrättslag.

I publiceringen av de nya policyuppdateringarna nämner de att de fokuserar på skillnaden mellan aktivt skadligt innehåll, som inte är tillåtet på plattformen, och kod i vila till stöd för säkerhetsforskning, vilket är välkommet och rekommenderat.

Dessa uppdateringar fokuserar också på att ta bort tvetydighet i vårt sätt att använda termer som "utnyttja", "skadlig kod" och "leverans" för att främja tydlighet i våra förväntningar och avsikter. Vi har öppnat en begäran om offentlig kommentar och inbjuder säkerhetsforskare och utvecklare att samarbeta med oss ​​om dessa förtydliganden och hjälpa oss att bättre förstå samhällets behov.

Bland de ändringar som vi kan hitta har följande villkor lagts till reglerna för DMCA-efterlevnad, förutom det tidigare nuvarande förbudet mot distribution och garanterar installation eller leverans av aktiv malware och exploatering:

Explicit förbud mot att placera teknik i förvaret för att kringgå tekniska skyddsåtgärder upphovsrätt, inklusive licensnycklar, liksom program för att generera nycklar, hoppa över nyckelverifiering och förlänga den fria arbetsperioden.

På detta nämns att proceduren införs för att presentera en begäran om eliminering av nämnda kod. Raderingssökanden måste tillhandahålla tekniska detaljer, med den angivna avsikten att lämna in ansökan om granskning före låsning.
Genom att blockera förvaret lovar de att ge möjlighet att exportera frågor och PR och erbjuda juridiska tjänster.
Ändringarna av policyerna för exploatering och skadlig programvara återspeglar kritik efter Microsofts borttagning av en prototyp som Microsoft Exchange-exploatering används för att utföra attacker. De nya reglerna försöker uttryckligen separera det farliga innehållet som används för att utföra aktiva attacker från koden som åtföljer säkerhetsutredningen. Förändringar gjorda:

Att inte bara attackera GitHub-användare är förbjudet publicera innehåll med exploater eller använda GitHub som ett leveransfordon, som det var tidigare, men också publicera skadlig kod och exploateringar som åtföljer aktiva attacker. I allmänhet är det inte förbjudet att publicera exempel på exploater som utvecklats under säkerhetsstudier och som påverkar sårbarheter som redan har fixats, men det beror helt på hur termen "aktiva attacker" tolkas.

Till exempel postar någon form av JavaScript-källkod som attackerar webbläsaren faller under dessa kriterier: angriparen hindrar inte angriparen från att ladda ner källkoden till offrets webbläsare genom att söka, automatiskt lappa om exploateringsprototypen den publiceras i en oanvändbar form och kör den.

Detsamma gäller för någon annan kod, till exempel i C ++: ingenting hindrar den från att kompilera och köra på den attackerade maskinen. Om ett arkiv med sådan kod hittas är det planerat att inte ta bort det utan att stänga åtkomst till det.

Utöver detta lades det till:

  • En klausul som förklarar möjligheten att överklaga i händelse av oenighet med blockaden.
  • Ett krav för förvarets ägare som är värd för potentiellt farligt innehåll som en del av säkerhetsundersökningen. Närvaron av sådant innehåll måste uttryckligen nämnas i början av README.md-filen, och kontaktuppgifterna för kommunikationen måste anges i filen SECURITY.md.

Det anges att GitHub i allmänhet inte tar bort publicerade exploater tillsammans med säkerhetsstudier för redan avslöjade sårbarheter (inte dag 0), men förbehåller sig möjligheten att begränsa åtkomst om det känns att det fortfarande finns en risk för att använda dessa i drift och verkliga attack utnyttjar GitHub support har fått klagomål om användningen av kod för attacker.

Ändringarna är fortfarande i utkaststatus, tillgängliga för diskussion i 30 dagar.

Fuente: https://github.blog/


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

Bli först att kommentera

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.