GitHub bir dizi kural değişikliği yayınladıesas olarak politikayı tanımlamak istismarların yeri ve kötü amaçlı yazılım incelemesinin sonuçları hakkındayanı sıra mevcut ABD Telif Hakkı Yasasına uygunluk.
Yeni politika güncellemelerinin yayınlanmasında, platformda izin verilmeyen aktif zararlı içerik ile güvenlik araştırmasını desteklemek için bekleyen kod arasındaki farka odaklandıklarını belirtiyorlar ki bu hoş karşılanıyor ve tavsiye ediliyor.
Bu güncellemeler, beklentilerimizin ve niyetlerimizin netliğini artırmak için "istismar", "kötü amaçlı yazılım" ve "teslim" gibi terimleri kullanma şeklimizdeki belirsizliği gidermeye de odaklanmaktadır. Herkese açık yorum için bir istek açtık ve güvenlik araştırmacılarını ve geliştiricilerini bu açıklamalar konusunda bizimle işbirliği yapmaya ve topluluğun ihtiyaçlarını daha iyi anlamamıza yardımcı olmaya davet ediyoruz.
Bulabildiğimiz değişiklikler arasında, daha önce mevcut olan dağıtım yasağına ek olarak ve etkin kötü amaçlı yazılım ve istismarların yüklenmesini veya teslim edilmesini garanti altına alan DMCA uyum kurallarına aşağıdaki koşullar eklenmiştir:
Teknik koruma araçlarından kaçınmak için bilgi havuzuna teknoloji yerleştirmenin açık bir şekilde yasaklanması Lisans anahtarlarının yanı sıra anahtar oluşturma, anahtar doğrulamayı atlama ve ücretsiz çalışma süresini uzatmaya yönelik programlar da dahil olmak üzere telif hakkı.
Bununla ilgili olarak, söz konusu kodun ortadan kaldırılması için bir talep sunma prosedürünün tanıtılmakta olduğundan bahsedilmektedir. Silme başvuru sahibi teknik detayları sağlamalıdır, Kilitlenme öncesinde başvuruyu incelemeye sunma niyetiyle.
Depoyu bloke ederek, sorunları ve halkla ilişkileri dışa aktarma yeteneği ve yasal hizmetler sunma sözü veriyorlar.
Açıklardan yararlanma ve kötü amaçlı yazılım politikası değişiklikleri, Microsoft'un saldırıları gerçekleştirmek için kullanılan bir prototip Microsoft Exchange istismarını kaldırmasının ardından gelen eleştirileri yansıtır. Yeni kurallar, aktif saldırılar gerçekleştirmek için kullanılan tehlikeli içeriği, güvenlik incelemesine eşlik eden koddan açıkça ayırmaya çalışır. Değişiklikler yapıldı:
Sadece GitHub kullanıcılarına saldırmak değil istismar içeren içerik yayınlamak veya GitHub'ı daha önce olduğu gibi istismar dağıtım aracı olarak kullanmak, aynı zamanda kötü niyetli kodlar ve aktif saldırılara eşlik eden istismarlar yayınlayın. Genel olarak, güvenlik çalışmaları sırasında geliştirilen ve halihazırda düzeltilmiş olan güvenlik açıklarını etkileyen istismar örneklerinin yayınlanması yasak değildir, ancak bunların tümü "aktif saldırılar" teriminin nasıl yorumlandığına bağlı olacaktır.
Örneğin, tarayıcıya saldıran herhangi bir JavaScript kaynak kodu biçimi yayınlamak şu kriterlerin kapsamına girer: saldırgan, saldırganın kaynak kodunu arama yaparak kurbanın tarayıcısına indirmesini engellemez, yararlanma prototipinin kullanılamaz bir şekilde yayınlanıp yayınlanmadığına otomatik olarak yama uygular. formu ve çalıştırıyor.
Aynısı diğer kodlar için de geçerlidir, örneğin C ++ 'da: hiçbir şey onun derlenmesini ve saldırıya uğrayan makinede çalışmasını engellemez. Bu tür bir koda sahip bir depo bulunursa, onu silmemesi, ancak ona erişimi kapatması planlanır.
Buna ek olarak şunlar da eklendi:
- Abluka ile anlaşmazlık durumunda itiraz etme olasılığını açıklayan bir madde.
- Güvenlik araştırmasının bir parçası olarak potansiyel olarak tehlikeli içeriği barındıran arşiv sahipleri için bir gereksinim. Bu tür içeriğin varlığı, README.md dosyasının başında açıkça belirtilmelidir ve iletişim için iletişim bilgileri SECURITY.md dosyasında sağlanmalıdır.
GitHub'ın genel olarak, zaten açıklanan güvenlik açıkları için güvenlik çalışmaları ile birlikte yayınlanan açıkları kaldırmadığı (0. gün değil), ancak bu Hizmet içi ve gerçek dünyayı kullanmanın hala bir risk olduğunu düşünüyorsa erişimi kısıtlama yeteneğini saklı tuttuğu belirtiliyor. saldırı istismarları GitHub desteği, saldırılar için kod kullanımıyla ilgili şikayetler aldı.
Değişiklikler hala taslak durumundadır ve 30 gün boyunca tartışılmaya hazırdır.
kaynak: https://github.blog/