கிட்ஹப் பல விதி மாற்றங்களை வெளியிட்டுள்ளது, முக்கியமாக கொள்கையை வரையறுத்தல் சுரண்டல்களின் இருப்பிடம் மற்றும் தீம்பொருள் விசாரணையின் முடிவுகள் குறித்துஅத்துடன் தற்போதைய அமெரிக்க பதிப்புரிமைச் சட்டத்துடன் இணங்குதல்.
புதிய கொள்கை புதுப்பிப்புகளை வெளியிடுவதில், அவை செயலில் தீங்கு விளைவிக்கும் உள்ளடக்கத்திற்கும், மேடையில் அனுமதிக்கப்படாத, மற்றும் பாதுகாப்பு ஆராய்ச்சிக்கு ஆதரவாக மீதமுள்ள குறியீட்டிற்கும் உள்ள வித்தியாசத்தில் கவனம் செலுத்துகின்றன, அவை வரவேற்கத்தக்கவை மற்றும் பரிந்துரைக்கப்படுகின்றன.
இந்த புதுப்பிப்புகள் எங்கள் எதிர்பார்ப்புகள் மற்றும் நோக்கங்களின் தெளிவை மேம்படுத்துவதற்காக "சுரண்டல்," "தீம்பொருள்" மற்றும் "விநியோகம்" போன்ற சொற்களைப் பயன்படுத்தும் விதத்தில் தெளிவின்மையை அகற்றுவதிலும் கவனம் செலுத்துகின்றன. பொதுக் கருத்துக்கான இழுப்பு கோரிக்கையை நாங்கள் திறந்து, பாதுகாப்பு ஆய்வாளர்களையும் டெவலப்பர்களையும் இந்த தெளிவுபடுத்தல்களில் எங்களுடன் ஒத்துழைக்க அழைக்கிறோம் மற்றும் சமூகத் தேவைகளை நன்கு புரிந்துகொள்ள உதவுகிறோம்.
நாம் காணக்கூடிய மாற்றங்களுக்கிடையில், டி.எம்.சி.ஏ இணக்க விதிகளில் பின்வரும் நிபந்தனைகள் சேர்க்கப்பட்டுள்ளன, இதற்கு முன்னர் விநியோகிக்கப்பட்ட தடை மற்றும் செயலில் தீம்பொருள் மற்றும் சுரண்டல்களை நிறுவுதல் அல்லது வழங்குவதை உத்தரவாதம் செய்தல்:
தொழில்நுட்ப பாதுகாப்பு முறைகளைத் தவிர்ப்பதற்காக களஞ்சியத்தில் தொழில்நுட்பங்களை வைப்பதற்கான வெளிப்படையான தடை உரிம விசைகள் உட்பட பதிப்புரிமை, அத்துடன் விசைகளை உருவாக்குவதற்கான திட்டங்கள், முக்கிய சரிபார்ப்பைத் தவிர்ப்பது மற்றும் இலவச வேலை காலத்தை நீட்டித்தல்.
இந்த குறியீட்டை நீக்குவதற்கான கோரிக்கையை முன்வைக்க நடைமுறை அறிமுகப்படுத்தப்படுவதாக இது குறிப்பிடப்பட்டுள்ளது. நீக்குதல் விண்ணப்பதாரர் தொழில்நுட்ப விவரங்களை வழங்க வேண்டும், பூட்டுதலுக்கு முன் விண்ணப்பத்தை மறுஆய்வுக்கு சமர்ப்பிக்கும் நோக்கத்துடன்.
களஞ்சியத்தைத் தடுப்பதன் மூலம், பிரச்சினைகள் மற்றும் மக்கள் தொடர்புகளை ஏற்றுமதி செய்வதற்கான திறனை வழங்குவதாகவும், சட்ட சேவைகளை வழங்குவதாகவும் அவர்கள் உறுதியளிக்கிறார்கள்.
மைக்ரோசாப்ட் ஒரு முன்மாதிரி மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சுரண்டலை நீக்கியதைத் தொடர்ந்து தீம்பொருள் மற்றும் சுரண்டல் கொள்கை மாற்றங்கள் விமர்சனங்களை பிரதிபலிக்கின்றன. புதிய விதிகள் பாதுகாப்பு விசாரணையுடன் வரும் குறியீட்டிலிருந்து செயலில் தாக்குதல்களை மேற்கொள்ள பயன்படுத்தப்படும் ஆபத்தான உள்ளடக்கத்தை வெளிப்படையாக பிரிக்க முயற்சிக்கின்றன. செய்யப்பட்ட மாற்றங்கள்:
கிட்ஹப் பயனர்களைத் தாக்குவது மட்டும் தடைசெய்யப்பட்டுள்ளது சுரண்டலுடன் உள்ளடக்கத்தை வெளியிடுதல் அல்லது கிட்ஹப்பை ஒரு சுரண்டல் விநியோக வாகனமாகப் பயன்படுத்துதல், முன்பு போலவே, செயலில் உள்ள தாக்குதல்களுடன் தீங்கிழைக்கும் குறியீடு மற்றும் சுரண்டல்களையும் வெளியிடுங்கள். பொதுவாக, பாதுகாப்பு ஆய்வுகளின் போது உருவாக்கப்பட்ட சுரண்டல்களின் எடுத்துக்காட்டுகளை வெளியிடுவது தடைசெய்யப்படவில்லை மற்றும் ஏற்கனவே சரி செய்யப்பட்டுள்ள பாதிப்புகளை பாதிக்கிறது, ஆனால் இவை அனைத்தும் "செயலில் தாக்குதல்கள்" என்ற சொல் எவ்வாறு விளக்கப்படுகிறது என்பதைப் பொறுத்தது.
எடுத்துக்காட்டாக, உலாவியைத் தாக்கும் எந்த வகையான ஜாவாஸ்கிரிப்ட் மூலக் குறியீட்டையும் இடுகையிடுவது இந்த அளவுகோலின் கீழ் வருகிறது: தேடுவதன் மூலம் தாக்குபவர் பாதிக்கப்பட்டவரின் உலாவியில் மூலக் குறியீட்டைப் பதிவிறக்குவதைத் தடுப்பதில்லை, அது பயன்படுத்த முடியாத நிலையில் வெளியிடப்பட்ட சுரண்டல் முன்மாதிரி என்பதை தானாக ஒட்டுகிறது வடிவம், மற்றும் இயங்கும்.
வேறு எந்த குறியீட்டிற்கும் இது பொருந்தும், எடுத்துக்காட்டாக சி ++ இல்: தாக்கப்பட்ட கணினியில் தொகுத்து இயங்குவதை எதுவும் தடுக்காது. அத்தகைய குறியீட்டைக் கொண்ட ஒரு களஞ்சியம் காணப்பட்டால், அதை நீக்க வேண்டாம், ஆனால் அதற்கான அணுகலை மூட திட்டமிடப்பட்டுள்ளது.
இது தவிர, இது சேர்க்கப்பட்டது:
- முற்றுகையுடன் கருத்து வேறுபாடு ஏற்பட்டால் மேல்முறையீட்டு மனு தாக்கல் செய்வதற்கான சாத்தியத்தை விளக்கும் ஒரு பிரிவு.
- பாதுகாப்பு ஆராய்ச்சியின் ஒரு பகுதியாக ஆபத்தான உள்ளடக்கத்தை வழங்கும் களஞ்சிய உரிமையாளர்களுக்கான தேவை. அத்தகைய உள்ளடக்கத்தின் இருப்பு README.md கோப்பின் தொடக்கத்தில் வெளிப்படையாக குறிப்பிடப்பட வேண்டும், மேலும் தகவல்தொடர்புக்கான தொடர்பு விவரங்கள் SECURITY.md கோப்பில் வழங்கப்பட வேண்டும்.
ஏற்கனவே வெளிப்படுத்தப்பட்ட பாதிப்புகளுக்கான பாதுகாப்பு ஆய்வுகளுடன் வெளியிடப்பட்ட சுரண்டல்களை கிட்ஹப் பொதுவாக அகற்றாது (நாள் 0 அல்ல), ஆனால் இந்த சேவை மற்றும் நிஜ உலகத்தைப் பயன்படுத்துவதற்கான ஆபத்து இன்னும் இருப்பதாக உணர்ந்தால் அணுகலைக் கட்டுப்படுத்தும் திறனைக் கொண்டுள்ளது. தாக்குதல் சுரண்டல்கள் GitHub ஆதரவு தாக்குதல்களுக்கு குறியீட்டைப் பயன்படுத்துவது குறித்து புகார்களைப் பெற்றுள்ளது.
மாற்றங்கள் இன்னும் வரைவு நிலையில் உள்ளன, இது 30 நாட்களுக்கு விவாதத்திற்கு கிடைக்கிறது.
மூல: https://github.blog/