GitHub đã đưa ra một số thay đổi về quy tắc, chủ yếu là xác định chính sách về vị trí khai thác và kết quả điều tra phần mềm độc hạicũng như tuân thủ Luật Bản quyền hiện hành của Hoa Kỳ.
Trong phần xuất bản các bản cập nhật chính sách mới, họ đề cập rằng họ tập trung vào sự khác biệt giữa nội dung tích cực có hại, không được phép trên nền tảng và mã ở trạng thái hỗ trợ nghiên cứu bảo mật, điều này được hoan nghênh và khuyến khích.
Các bản cập nhật này cũng tập trung vào việc loại bỏ sự mơ hồ trong cách chúng tôi sử dụng các thuật ngữ như "khai thác", "phần mềm độc hại" và "phân phối" để thúc đẩy sự rõ ràng về kỳ vọng và ý định của chúng tôi. Chúng tôi đã mở một yêu cầu kéo bình luận công khai và mời các nhà nghiên cứu và nhà phát triển bảo mật cộng tác với chúng tôi để làm rõ những điều này và giúp chúng tôi hiểu rõ hơn về nhu cầu của cộng đồng.
Trong số những thay đổi mà chúng tôi có thể tìm thấy, các điều kiện sau đã được thêm vào các quy tắc tuân thủ DMCA, bên cạnh quy định cấm phân phối hiện tại trước đây và đảm bảo cài đặt hoặc phân phối phần mềm độc hại đang hoạt động và khai thác:
Nghiêm cấm rõ ràng việc đưa các công nghệ vào kho lưu trữ để phá vỡ các phương tiện kỹ thuật bảo vệ bản quyền, bao gồm các khóa cấp phép, cũng như các chương trình tạo khóa, bỏ qua xác minh khóa và kéo dài thời gian làm việc miễn phí.
Về điều này, nó được đề cập rằng thủ tục đang được giới thiệu để trình bày một yêu cầu loại bỏ mã nói trên. Người nộp đơn xóa phải cung cấp chi tiết kỹ thuật, với ý định đã nêu là gửi ứng dụng để xem xét trước khi khóa tài khoản.
Bằng cách chặn kho lưu trữ, họ hứa hẹn cung cấp khả năng xuất các vấn đề và quan hệ công chúng, đồng thời cung cấp các dịch vụ pháp lý.
Các thay đổi về chính sách khai thác và phần mềm độc hại phản ánh những lời chỉ trích sau khi Microsoft xóa bỏ một nguyên mẫu khai thác Microsoft Exchange được sử dụng để thực hiện các cuộc tấn công. Các quy tắc mới cố gắng tách biệt rõ ràng nội dung nguy hiểm được sử dụng để thực hiện các cuộc tấn công chủ động khỏi mã đi kèm với cuộc điều tra bảo mật. Những thay đổi đã làm:
Không chỉ tấn công người dùng GitHub bị cấm xuất bản nội dung có khai thác hoặc sử dụng GitHub như một phương tiện phân phối khai thác, như trước đây, mà còn xuất bản mã độc hại và các hoạt động khai thác đi kèm với các cuộc tấn công. Nói chung, không cấm xuất bản các ví dụ về các khai thác được phát triển trong quá trình nghiên cứu bảo mật và ảnh hưởng đến các lỗ hổng bảo mật đã được sửa, nhưng tất cả sẽ phụ thuộc vào cách hiểu thuật ngữ "tấn công chủ động".
Ví dụ: đăng dưới bất kỳ hình thức mã nguồn JavaScript nào tấn công trình duyệt thuộc tiêu chí này: kẻ tấn công không ngăn kẻ tấn công tải mã nguồn xuống trình duyệt của nạn nhân bằng cách tìm kiếm, tự động vá xem nguyên mẫu khai thác nó có được xuất bản trong một biểu mẫu không sử dụng được và đang chạy nó.
Điều tương tự cũng xảy ra với bất kỳ mã nào khác, ví dụ trong C ++: không có gì ngăn cản nó biên dịch và chạy trên máy bị tấn công. Nếu một kho lưu trữ có mã như vậy được tìm thấy, dự kiến sẽ không xóa nó mà là đóng quyền truy cập vào nó.
Ngoài điều này, nó đã được thêm vào:
- Một điều khoản giải thích khả năng nộp đơn kháng cáo trong trường hợp không đồng ý với việc phong tỏa.
- Yêu cầu đối với chủ sở hữu kho lưu trữ nội dung nguy hiểm tiềm ẩn như một phần của nghiên cứu bảo mật. Sự hiện diện của nội dung như vậy phải được đề cập rõ ràng ở phần đầu của tệp README.md và chi tiết liên hệ để liên lạc phải được cung cấp trong tệp SECURITY.md.
Người ta nói rằng GitHub thường không xóa các khai thác đã xuất bản cùng với các nghiên cứu bảo mật cho các lỗ hổng bảo mật đã được tiết lộ (không phải ngày 0), nhưng có khả năng hạn chế quyền truy cập nếu cảm thấy vẫn có rủi ro khi sử dụng các Trong dịch vụ và trong thế giới thực. khai thác tấn công Hỗ trợ GitHub đã nhận được khiếu nại về việc sử dụng mã cho các cuộc tấn công.
Các thay đổi vẫn ở trạng thái dự thảo, có sẵn để thảo luận trong 30 ngày.
Fuente: https://github.blog/