భద్రతా పరిశోధన ఫలితాలను ప్రచురించడానికి GitHub నియమాలను అమలు చేస్తుంది

GitHub లోగో

GitHub అనేక నియమ మార్పులను విడుదల చేసింది, ప్రధానంగా విధానాన్ని నిర్వచించడం దోపిడీల స్థానం మరియు మాల్వేర్ పరిశోధన ఫలితాల గురించిఅలాగే ప్రస్తుత US కాపీరైట్ చట్టానికి అనుగుణంగా.

క్రొత్త విధాన నవీకరణల ప్రచురణలో, వారు ప్లాట్‌ఫారమ్‌లో అనుమతించబడని చురుకుగా హానికరమైన కంటెంట్ మరియు భద్రతా పరిశోధనలకు మద్దతుగా విశ్రాంతి సమయంలో కోడ్ మధ్య వ్యత్యాసంపై దృష్టి సారించారని వారు పేర్కొన్నారు, ఇది స్వాగతించబడింది మరియు సిఫార్సు చేయబడింది.

ఈ అంచనాలు మా అంచనాలు మరియు ఉద్దేశ్యాల యొక్క స్పష్టతను ప్రోత్సహించడానికి "దోపిడీ," "మాల్వేర్" మరియు "డెలివరీ" వంటి పదాలను ఉపయోగించే విధానంలో అస్పష్టతను తొలగించడంపై కూడా దృష్టి పెడతాయి. మేము పబ్లిక్ వ్యాఖ్య కోసం ఒక పుల్ అభ్యర్థనను తెరిచాము మరియు ఈ స్పష్టీకరణలపై మాతో సహకరించడానికి భద్రతా పరిశోధకులను మరియు డెవలపర్‌లను ఆహ్వానించండి మరియు సమాజ అవసరాలను బాగా అర్థం చేసుకోవడానికి మాకు సహాయపడుతుంది.

మేము కనుగొనగలిగే మార్పులలో, గతంలో ఉన్న పంపిణీ నిషేధంతో పాటు, క్రియాశీల మాల్వేర్ మరియు దోపిడీల యొక్క సంస్థాపన లేదా డెలివరీకి హామీ ఇవ్వడంతో పాటు, ఈ క్రింది షరతులు DMCA సమ్మతి నియమాలకు జోడించబడ్డాయి:

సాంకేతిక రక్షణ మార్గాలను అధిగమించడానికి రిపోజిటరీలో సాంకేతిక పరిజ్ఞానాన్ని ఉంచడాన్ని స్పష్టంగా నిషేధించడం లైసెన్స్ కీలతో సహా కాపీరైట్, అలాగే కీలను రూపొందించడం, కీ ధృవీకరణను దాటవేయడం మరియు ఉచిత పని వ్యవధిని పొడిగించే కార్యక్రమాలు.

ఈ కోడ్ యొక్క తొలగింపు కోసం ఒక అభ్యర్థనను సమర్పించడానికి ఈ విధానాన్ని ప్రవేశపెడుతున్నట్లు ప్రస్తావించబడింది. తొలగింపు దరఖాస్తుదారు సాంకేతిక వివరాలను అందించాలి, లాక్డౌన్కు ముందు దరఖాస్తును సమీక్ష కోసం సమర్పించాలనే ఉద్దేశ్యంతో.
రిపోజిటరీని నిరోధించడం ద్వారా, సమస్యలు మరియు ప్రజా సంబంధాలను ఎగుమతి చేసే సామర్థ్యాన్ని అందిస్తామని మరియు న్యాయ సేవలను అందిస్తామని వారు హామీ ఇచ్చారు.
మైక్రోసాఫ్ట్ దాడులు చేయడానికి ఉపయోగించే ఒక నమూనా మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ దోపిడీని తొలగించిన తరువాత దోపిడీ మరియు మాల్వేర్ విధాన మార్పులు విమర్శలను ప్రతిబింబిస్తాయి. భద్రతా పరిశోధనతో కూడిన కోడ్ నుండి క్రియాశీల దాడులు చేయడానికి ఉపయోగించే ప్రమాదకరమైన కంటెంట్‌ను కొత్త నియమాలు స్పష్టంగా వేరు చేయడానికి ప్రయత్నిస్తాయి. చేసిన మార్పులు:

GitHub వినియోగదారులపై దాడి చేయడమే నిషేధించబడింది మునుపటిలాగే దోపిడీలతో కంటెంట్‌ను ప్రచురించడం లేదా గిట్‌హబ్‌ను దోపిడీ డెలివరీ వాహనంగా ఉపయోగించడం, క్రియాశీల దాడులతో పాటు హానికరమైన కోడ్ మరియు దోపిడీలను కూడా ప్రచురించండి. సాధారణంగా, భద్రతా అధ్యయనాల సమయంలో అభివృద్ధి చేయబడిన దోపిడీల ఉదాహరణలను ప్రచురించడం నిషేధించబడలేదు మరియు ఇది ఇప్పటికే పరిష్కరించబడిన దుర్బలత్వాలను ప్రభావితం చేస్తుంది, అయితే ఇవన్నీ "క్రియాశీల దాడులు" అనే పదాన్ని ఎలా అన్వయించాలో ఆధారపడి ఉంటుంది.

ఉదాహరణకు, బ్రౌజర్‌పై దాడి చేసే జావాస్క్రిప్ట్ సోర్స్ కోడ్ యొక్క ఏ రూపంలోనైనా పోస్ట్ చేయడం ఈ ప్రమాణానికి లోబడి ఉంటుంది: శోధించడం ద్వారా దాడి చేసిన వ్యక్తి సోర్స్ కోడ్‌ను బాధితుడి బ్రౌజర్‌కు డౌన్‌లోడ్ చేయకుండా నిరోధించడు, శోధించడం ద్వారా స్వయంచాలకంగా ప్యాచ్ చేస్తుంది. ఉపయోగించలేని రూపం మరియు దానిని అమలు చేస్తుంది.

ఏ ఇతర కోడ్‌కైనా ఇదే జరుగుతుంది, ఉదాహరణకు C ++ లో: దాడి చేసిన మెషీన్‌లో కంపైల్ చేయకుండా మరియు రన్ అవ్వడానికి ఏదీ నిరోధించదు. అటువంటి కోడ్‌తో రిపోజిటరీ దొరికితే, దాన్ని తొలగించకుండా, దానికి ప్రాప్యతను మూసివేయాలని యోచిస్తున్నారు.

దీనికి అదనంగా, ఇది జోడించబడింది:

  • దిగ్బంధనంతో విభేదిస్తే అప్పీల్ దాఖలు చేసే అవకాశాన్ని వివరించే నిబంధన.
  • భద్రతా పరిశోధనలో భాగంగా ప్రమాదకరమైన కంటెంట్‌ను హోస్ట్ చేసే రిపోజిటరీ యజమానుల అవసరం. అటువంటి కంటెంట్ ఉనికిని README.md ఫైల్ ప్రారంభంలో స్పష్టంగా పేర్కొనాలి మరియు కమ్యూనికేషన్ కోసం సంప్రదింపు వివరాలను SECURITY.md ఫైల్‌లో అందించాలి.

ఇప్పటికే బహిర్గతం చేసిన దుర్బలత్వాల కోసం భద్రతా అధ్యయనాలతో పాటు ప్రచురించిన దోపిడీలను GitHub సాధారణంగా తొలగించదని పేర్కొంది (అయితే ఈ రోజు 0 కాదు), అయితే ఈ సేవ మరియు వాస్తవ ప్రపంచాన్ని ఉపయోగించుకునే ప్రమాదం ఇంకా ఉందని భావిస్తే ప్రాప్యతను పరిమితం చేసే సామర్థ్యాన్ని కలిగి ఉంది. దాడి దోపిడీలు GitHub మద్దతు దాడులకు కోడ్ ఉపయోగించడం గురించి ఫిర్యాదులను అందుకుంది.

మార్పులు ఇప్పటికీ ముసాయిదా స్థితిలో ఉన్నాయి, 30 రోజులు చర్చకు అందుబాటులో ఉన్నాయి.

మూలం: https://github.blog/


వ్యాసం యొక్క కంటెంట్ మా సూత్రాలకు కట్టుబడి ఉంటుంది సంపాదకీయ నీతి. లోపం నివేదించడానికి క్లిక్ చేయండి ఇక్కడ.

వ్యాఖ్యానించిన మొదటి వ్యక్తి అవ్వండి

మీ వ్యాఖ్యను ఇవ్వండి

మీ ఇమెయిల్ చిరునామా ప్రచురితమైన కాదు. లు గుర్తించబడతాయి గుర్తించబడతాయి *

*

*

  1. డేటాకు బాధ్యత: మిగ్యుల్ ఏంజెల్ గాటన్
  2. డేటా యొక్క ఉద్దేశ్యం: కంట్రోల్ స్పామ్, వ్యాఖ్య నిర్వహణ.
  3. చట్టబద్ధత: మీ సమ్మతి
  4. డేటా యొక్క కమ్యూనికేషన్: డేటా చట్టపరమైన బాధ్యత ద్వారా తప్ప మూడవ పార్టీలకు తెలియజేయబడదు.
  5. డేటా నిల్వ: ఆక్సెంటస్ నెట్‌వర్క్స్ (EU) హోస్ట్ చేసిన డేటాబేస్
  6. హక్కులు: ఎప్పుడైనా మీరు మీ సమాచారాన్ని పరిమితం చేయవచ్చు, తిరిగి పొందవచ్చు మరియు తొలగించవచ్చు.