Ipinatutupad ng GitHub ang mga patakaran para sa pag-publish ng mga resulta sa pagsasaliksik sa seguridad

Logo ng GitHub

Naglabas ang GitHub ng isang bilang ng mga pagbabago sa panuntunan, pangunahin ang pagtukoy sa patakaran patungkol sa lokasyon ng mga pagsasamantala at mga resulta ng pagsisiyasat ng malwarepati na rin ang pagsunod sa kasalukuyang US Copyright Law.

Sa paglalathala ng mga bagong pag-update ng patakaran, nabanggit nila na nakatuon sila sa pagkakaiba sa pagitan ng aktibong nakakapinsalang nilalaman, na hindi pinapayagan sa platform, at ang code na pahinga bilang suporta sa pananaliksik sa seguridad, na malugod at inirerekumenda.

Nakatuon din ang mga pag-update na ito sa pag-aalis ng kalabuan sa paraan ng paggamit namin ng mga term na tulad ng "exploit," "malware," at "delivery" upang maitaguyod ang kalinawan ng aming mga inaasahan at hangarin. Binuksan namin ang isang kahilingan sa paghila para sa komento ng publiko at inaanyayahan ang mga mananaliksik ng seguridad at developer na makipagtulungan sa amin sa mga paglilinaw na ito at matulungan kaming mas maunawaan ang mga pangangailangan sa komunidad.

Kabilang sa mga pagbabago na maaari naming hanapin, ang mga sumusunod na kundisyon ay naidagdag sa mga patakaran sa pagsunod sa DMCA, bilang karagdagan sa dati nang pagbabawal sa pamamahagi at ginagarantiyahan ang pag-install o paghahatid ng aktibong malware at pagsasamantala:

Malinaw na pagbabawal ng paglalagay ng mga teknolohiya sa lalagyan upang maiwasan ang mga teknikal na paraan ng proteksyon copyright, kabilang ang mga key ng lisensya, pati na rin ang mga programa para sa pagbuo ng mga key, paglaktaw sa pagpapatunay ng key, at pagpapalawak ng libreng panahon ng trabaho.

Dito nabanggit na ang pamamaraan ay ipinakilala upang ipakita ang isang kahilingan para sa pagtanggal ng nasabing code. Dapat magbigay ang aplikante ng pagtanggal ng mga teknikal na detalye, na may nakasaad na hangarin na isumite ang aplikasyon para sa pagsusuri bago ang lockdown.
Sa pamamagitan ng pagharang sa repository, nangangako silang magbibigay ng kakayahang mag-export ng mga isyu at mga ugnayan sa publiko, at mag-alok ng mga ligal na serbisyo.
Ang malware at pagsamantalahan ang mga pagbabago sa patakaran ay sumasalamin sa pagpuna kasunod ng pagtanggal ng Microsoft ng isang prototype na pagsamantalahan ng Microsoft Exchange na ginamit upang magsagawa ng mga pag-atake. Tinangka ng mga bagong panuntunan na tahasang ihiwalay ang mapanganib na nilalaman na ginamit upang magsagawa ng mga aktibong pag-atake mula sa code na kasama ng pagsisiyasat sa seguridad. Mga pagbabagong nagawa:

Hindi lamang ang pag-atake sa mga gumagamit ng GitHub ang ipinagbabawal pag-publish ng nilalaman gamit ang mga pagsasamantala o paggamit ng GitHub bilang isang pagsasamantalahan sa paghahatid ng sasakyan, tulad ng dati, ngunit naglathala din ng nakakahamak na code at mga pagsasamantala na kasama ng mga aktibong pag-atake. Sa pangkalahatan, hindi ipinagbabawal na mag-publish ng mga halimbawa ng mga pagsasamantala na binuo sa kurso ng mga pag-aaral sa seguridad at nakakaapekto sa mga kahinaan na naayos na, ngunit ang lahat ay nakasalalay sa kung paano binibigyang kahulugan ang term na "aktibong pag-atake".

Halimbawa, ang pag-post sa anumang anyo ng JavaScript source code na umaatake sa browser ay nasa ilalim ng pamantayan na ito: hindi pinipigilan ng magsasalakay ang pag-atake mula sa pag-download ng source code sa browser ng biktima sa pamamagitan ng paghahanap, awtomatikong i-patch kung ang exploit prototype na ito ay nai-publish sa isang hindi magagamit na form, at pagpapatakbo nito.

Ang pareho ay napupunta para sa anumang iba pang mga code, halimbawa sa C ++: walang pumipigil dito sa pag-iipon at pagpapatakbo sa inaatake na makina. Kung ang isang repository na may nasabing code ay natagpuan, pinaplano na hindi ito tanggalin, ngunit upang isara ito.

Bilang karagdagan sa ito, idinagdag ito:

  • Isang sugnay na nagpapaliwanag ng posibilidad ng pagsampa ng isang apela sa kaso ng hindi pagkakasundo sa blockade.
  • Isang kinakailangan para sa mga may-ari ng repository na nagho-host ng potensyal na mapanganib na nilalaman bilang bahagi ng pagsasaliksik sa seguridad. Ang pagkakaroon ng naturang nilalaman ay dapat na malinaw na binanggit sa simula ng README.md file, at ang mga detalye sa pakikipag-ugnay para sa komunikasyon ay dapat ibigay sa file na SECURITY.md.

Nakasaad na sa pangkalahatan ay hindi aalisin ng GitHub ang mga nai-publish na pagsasamantala kasama ang mga pag-aaral sa seguridad para sa mga kahinaan na isiniwalat na (hindi araw 0), ngunit may reserbang kakayahang paghigpitan ang pag-access kung sa palagay nito ay may panganib pa ring gamitin ang In-service at real-world na ito. pagsamantala pagsamantala GitHub suporta ay nakatanggap ng mga reklamo tungkol sa paggamit ng code para sa pag-atake.

Ang mga pagbabago ay nasa kalagayan pa rin ng draft, magagamit para sa talakayan sa loob ng 30 araw.

Fuente: https://github.blog/


Maging una sa komento

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.