GitHub опублікував ряд змін правил, головним чином визначаючи політику щодо місця експлуатації та результатів розслідування зловмисного програмного забезпеченняа також дотримання чинного законодавства про авторські права США.
У публікації нових оновлень політики вони зазначають, що вони зосереджуються на різниці між активно шкідливим вмістом, забороненим на платформі, та кодом у спокої на підтримку досліджень безпеки, що вітається та рекомендується.
Ці оновлення також зосереджуються на усуненні двозначності у способі використання таких термінів, як "експлуатувати", "шкідливе програмне забезпечення" та "доставка", щоб просувати чіткість наших очікувань та намірів. Ми відкрили запит на публічний коментар і запрошуємо дослідників та розробників безпеки співпрацювати з нами щодо цих роз’яснень та допомагати нам краще розуміти потреби громади.
Серед змін, які ми можемо знайти, до правил дотримання Закону про захист авторських прав у цифрову епоху, на додаток до попередньої заборони розповсюдження та гарантування встановлення чи доставки активного шкідливого програмного забезпечення та експлойтів, були додані наступні умови:
Явна заборона розміщення технологій у сховищі для обходу технічних засобів захисту авторські права, включаючи ліцензійні ключі, а також програми для генерації ключів, пропуску перевірки ключів та продовження періоду безкоштовної роботи.
З цього приводу зазначається, що запроваджується процедура подання запиту на усунення зазначеного кодексу. Заявник на видалення повинен надати технічні деталі, з заявленим наміром подати заявку на розгляд до блокування.
Блокуючи сховище, вони обіцяють надати можливість експорту питань та зв'язків з громадськістю, а також пропонують юридичні послуги.
Зміни у політиці щодо використання та шкідливого програмного забезпечення відображають критику після видалення корпорацією Майкрософт прототипу експлойта Microsoft Exchange, що використовується для здійснення атак. Нові правила намагаються явно відокремити небезпечний вміст, що використовується для здійснення активних атак, від коду, що супроводжує розслідування безпеки. Внесені зміни:
Заборонено атакувати не лише користувачів GitHub публікація вмісту з експлойтами або використання GitHub як засобу доставки експлойтів, як це було раніше, а також публікувати шкідливий код та експлойти, що супроводжують активні атаки. Загалом, не забороняється публікувати приклади експлойтів, розроблених в ході досліджень безпеки, які впливають на вже виправлені вразливості, але все буде залежати від того, як інтерпретується термін "активні атаки".
Наприклад, розміщення будь-якої форми вихідного коду JavaScript, який атакує браузер, підпадає під ці критерії: зловмисник не заважає зловмиснику завантажувати вихідний код у браузер жертви шляхом пошуку, автоматично виправляючи, чи опубліковано експлуатований прототип, який він не використовується форми та запуску.
Те саме стосується будь-якого іншого коду, наприклад в C ++: ніщо не заважає йому компілювати та запускати на атакованій машині. Якщо сховище з таким кодом буде знайдено, планується його не видаляти, а закрити доступ до нього.
На додаток до цього було додано:
- Пункт, що пояснює можливість подання апеляції у разі незгоди з блокадою.
- Вимога до власників сховищ, які розміщують потенційно небезпечний вміст як частина досліджень безпеки. Наявність такого вмісту має бути чітко зазначена на початку файлу README.md, а контактні дані для зв'язку мають бути вказані у файлі SECURITY.md.
Зазначається, що GitHub зазвичай не видаляє опубліковані експлоїти разом із дослідженнями безпеки для вже розкритих вразливостей (не день 0), але залишає за собою можливість обмежити доступ, якщо відчуває, що все ще існує ризик використання цих службових та реальних даних атака використовує підтримку GitHub отримувала скарги щодо використання коду для атак.
Зміни все ще перебувають у проекті статусу, доступні для обговорення протягом 30 днів.
Фуенте: https://github.blog/