GitHub ได้เปิดตัวการเปลี่ยนแปลงกฎหลายอย่างส่วนใหญ่กำหนดนโยบาย เกี่ยวกับตำแหน่งของช่องโหว่และผลการตรวจสอบมัลแวร์ตลอดจนการปฏิบัติตามกฎหมายลิขสิทธิ์ของสหรัฐอเมริกาในปัจจุบัน
ในการเผยแพร่การอัปเดตนโยบายใหม่พวกเขากล่าวว่าพวกเขามุ่งเน้นไปที่ความแตกต่างระหว่างเนื้อหาที่เป็นอันตรายอย่างแข็งขันซึ่งไม่ได้รับอนุญาตบนแพลตฟอร์มและรหัสที่อยู่นิ่งเพื่อสนับสนุนการวิจัยด้านความปลอดภัยซึ่งยินดีต้อนรับและแนะนำ
การอัปเดตเหล่านี้ยังมุ่งเน้นไปที่การลบความคลุมเครือในวิธีที่เราใช้คำต่างๆเช่น "หาประโยชน์" "มัลแวร์" และ "การส่งมอบ" เพื่อส่งเสริมความชัดเจนของความคาดหวังและความตั้งใจของเรา เราได้เปิดคำขอดึงความคิดเห็นสาธารณะและเชิญนักวิจัยด้านความปลอดภัยและนักพัฒนามาร่วมมือกับเราในการชี้แจงเหล่านี้และช่วยให้เราเข้าใจความต้องการของชุมชนได้ดีขึ้น
ท่ามกลางการเปลี่ยนแปลงที่เราสามารถพบได้มีการเพิ่มเงื่อนไขต่อไปนี้ในกฎการปฏิบัติตาม DMCA นอกเหนือจากข้อห้ามในการแจกจ่ายก่อนหน้านี้และการรับประกันการติดตั้งหรือส่งมอบมัลแวร์ที่ใช้งานอยู่และการใช้ประโยชน์:
การห้ามอย่างชัดเจนในการวางเทคโนโลยีในพื้นที่เก็บข้อมูลเพื่อหลีกเลี่ยงวิธีการป้องกันทางเทคนิค ลิขสิทธิ์รวมถึงคีย์ใบอนุญาตตลอดจนโปรแกรมสำหรับสร้างคีย์ข้ามการตรวจสอบคีย์และขยายระยะเวลาการทำงานฟรี
ในเรื่องนี้มีการกล่าวถึงขั้นตอนที่จะนำเสนอเพื่อเสนอขอให้ลบรหัสดังกล่าว ผู้ขอลบจะต้องให้รายละเอียดทางเทคนิค ด้วยความตั้งใจที่ระบุไว้ในการส่งใบสมัครเพื่อรับการตรวจสอบก่อนที่จะมีการปิดล็อก
พวกเขาสัญญาว่าจะให้ความสามารถในการส่งออกปัญหาและการประชาสัมพันธ์และเสนอบริการทางกฎหมายด้วยการบล็อกที่เก็บข้อมูล
การเปลี่ยนแปลงนโยบายเกี่ยวกับมัลแวร์และการใช้ประโยชน์สะท้อนให้เห็นถึงการวิพากษ์วิจารณ์หลังจากที่ Microsoft นำเอาประโยชน์จาก Microsoft Exchange ต้นแบบที่ใช้ในการโจมตีออกไป กฎใหม่พยายามแยกเนื้อหาอันตรายที่ใช้ในการโจมตีที่ใช้งานอยู่ออกจากรหัสที่มาพร้อมกับการตรวจสอบความปลอดภัยอย่างชัดเจน การเปลี่ยนแปลงที่ทำ:
ไม่เพียง แต่ห้ามโจมตีผู้ใช้ GitHub เท่านั้น การเผยแพร่เนื้อหาที่มีการหาประโยชน์หรือใช้ GitHub เป็นยานพาหนะในการจัดส่งแบบหาประโยชน์เหมือนเดิม แต่ยังเผยแพร่โค้ดที่เป็นอันตรายและช่องโหว่ที่มาพร้อมกับการโจมตีที่ใช้งานอยู่. โดยทั่วไปจะไม่ห้ามไม่ให้เผยแพร่ตัวอย่างของการหาประโยชน์ที่พัฒนาขึ้นในระหว่างการศึกษาด้านความปลอดภัยและส่งผลกระทบต่อช่องโหว่ที่ได้รับการแก้ไขแล้ว แต่ทั้งหมดนี้จะขึ้นอยู่กับวิธีตีความคำว่า "การโจมตีแบบแอคทีฟ"
ตัวอย่างเช่นการโพสต์ซอร์สโค้ด JavaScript ในรูปแบบใด ๆ ที่โจมตีเบราว์เซอร์ที่อยู่ภายใต้เกณฑ์นี้: ผู้โจมตีไม่ได้ป้องกันผู้โจมตีจากการดาวน์โหลดซอร์สโค้ดไปยังเบราว์เซอร์ของเหยื่อโดยการค้นหาโดยจะทำการแก้ไขโดยอัตโนมัติว่าต้นแบบการใช้ประโยชน์นั้นถูกเผยแพร่ใน รูปแบบที่ใช้ไม่ได้และเรียกใช้
เช่นเดียวกันกับรหัสอื่น ๆ ตัวอย่างเช่นใน C ++: ไม่มีอะไรป้องกันไม่ให้คอมไพล์และทำงานบนเครื่องที่ถูกโจมตี หากพบที่เก็บที่มีรหัสดังกล่าวจะมีการวางแผนที่จะไม่ลบ แต่เพื่อปิดการเข้าถึง
นอกจากนี้ยังมีการเพิ่ม:
- ประโยคที่อธิบายถึงความเป็นไปได้ในการยื่นอุทธรณ์ในกรณีที่ไม่เห็นด้วยกับการปิดล้อม
- ข้อกำหนดสำหรับเจ้าของพื้นที่เก็บข้อมูลที่โฮสต์เนื้อหาที่อาจเป็นอันตรายซึ่งเป็นส่วนหนึ่งของการวิจัยด้านความปลอดภัย ต้องระบุการมีอยู่ของเนื้อหาดังกล่าวอย่างชัดเจนที่จุดเริ่มต้นของไฟล์ README.md และรายละเอียดการติดต่อสำหรับการสื่อสารจะต้องระบุไว้ในไฟล์ SECURITY.md
มีการระบุว่าโดยทั่วไป GitHub จะไม่ลบช่องโหว่ที่เผยแพร่พร้อมกับการศึกษาด้านความปลอดภัยสำหรับช่องโหว่ที่เปิดเผยแล้ว (ไม่ใช่วันที่ 0) แต่ขอสงวนความสามารถในการ จำกัด การเข้าถึงหากรู้สึกว่ายังมีความเสี่ยงในการใช้บริการเหล่านี้ในบริการและในโลกแห่งความเป็นจริง การโจมตีหาประโยชน์จากการสนับสนุน GitHub ได้รับการร้องเรียนเกี่ยวกับการใช้รหัสในการโจมตี
การเปลี่ยนแปลงยังคงอยู่ในสถานะร่างพร้อมให้อภิปรายเป็นเวลา 30 วัน
Fuente: https://github.blog/