GitHub har släppt ett antal regeländringar, som huvudsakligen definierar policyn angående placeringen av exploateringar och resultaten av malwareutredningensamt överensstämmelse med gällande amerikansk upphovsrättslag.
I publiceringen av de nya policyuppdateringarna nämner de att de fokuserar på skillnaden mellan aktivt skadligt innehåll, som inte är tillåtet på plattformen, och kod i vila till stöd för säkerhetsforskning, vilket är välkommet och rekommenderat.
Dessa uppdateringar fokuserar också på att ta bort tvetydighet i vårt sätt att använda termer som "utnyttja", "skadlig kod" och "leverans" för att främja tydlighet i våra förväntningar och avsikter. Vi har öppnat en begäran om offentlig kommentar och inbjuder säkerhetsforskare och utvecklare att samarbeta med oss om dessa förtydliganden och hjälpa oss att bättre förstå samhällets behov.
Bland de ändringar som vi kan hitta har följande villkor lagts till reglerna för DMCA-efterlevnad, förutom det tidigare nuvarande förbudet mot distribution och garanterar installation eller leverans av aktiv malware och exploatering:
Explicit förbud mot att placera teknik i förvaret för att kringgå tekniska skyddsåtgärder upphovsrätt, inklusive licensnycklar, liksom program för att generera nycklar, hoppa över nyckelverifiering och förlänga den fria arbetsperioden.
På detta nämns att proceduren införs för att presentera en begäran om eliminering av nämnda kod. Raderingssökanden måste tillhandahålla tekniska detaljer, med den angivna avsikten att lämna in ansökan om granskning före låsning.
Genom att blockera förvaret lovar de att ge möjlighet att exportera frågor och PR och erbjuda juridiska tjänster.
Ändringarna av policyerna för exploatering och skadlig programvara återspeglar kritik efter Microsofts borttagning av en prototyp som Microsoft Exchange-exploatering används för att utföra attacker. De nya reglerna försöker uttryckligen separera det farliga innehållet som används för att utföra aktiva attacker från koden som åtföljer säkerhetsutredningen. Förändringar gjorda:
Att inte bara attackera GitHub-användare är förbjudet publicera innehåll med exploater eller använda GitHub som ett leveransfordon, som det var tidigare, men också publicera skadlig kod och exploateringar som åtföljer aktiva attacker. I allmänhet är det inte förbjudet att publicera exempel på exploater som utvecklats under säkerhetsstudier och som påverkar sårbarheter som redan har fixats, men det beror helt på hur termen "aktiva attacker" tolkas.
Till exempel postar någon form av JavaScript-källkod som attackerar webbläsaren faller under dessa kriterier: angriparen hindrar inte angriparen från att ladda ner källkoden till offrets webbläsare genom att söka, automatiskt lappa om exploateringsprototypen den publiceras i en oanvändbar form och kör den.
Detsamma gäller för någon annan kod, till exempel i C ++: ingenting hindrar den från att kompilera och köra på den attackerade maskinen. Om ett arkiv med sådan kod hittas är det planerat att inte ta bort det utan att stänga åtkomst till det.
Utöver detta lades det till:
- En klausul som förklarar möjligheten att överklaga i händelse av oenighet med blockaden.
- Ett krav för förvarets ägare som är värd för potentiellt farligt innehåll som en del av säkerhetsundersökningen. Närvaron av sådant innehåll måste uttryckligen nämnas i början av README.md-filen, och kontaktuppgifterna för kommunikationen måste anges i filen SECURITY.md.
Det anges att GitHub i allmänhet inte tar bort publicerade exploater tillsammans med säkerhetsstudier för redan avslöjade sårbarheter (inte dag 0), men förbehåller sig möjligheten att begränsa åtkomst om det känns att det fortfarande finns en risk för att använda dessa i drift och verkliga attack utnyttjar GitHub support har fått klagomål om användningen av kod för attacker.
Ändringarna är fortfarande i utkaststatus, tillgängliga för diskussion i 30 dagar.
Fuente: https://github.blog/