GitHub發布了許多規則更改,主要是定義政策 關於漏洞利用的位置和惡意軟件調查的結果以及遵守當前的美國版權法。
在新的策略更新的發布中,他們提到它們著重於平台上不允許的主動有害內容與支持安全研究的靜態代碼之間的區別,歡迎並建議這樣做。
這些更新還著重於消除我們使用諸如“利用”,“惡意軟件”和“傳遞”之類的術語的歧義,以提高我們的期望和意圖的清晰度。 我們已經公開徵求公眾意見,並邀請安全研究人員和開發人員就這些澄清與我們合作,並幫助我們更好地了解社區需求。
在我們可以找到的變化中,除了先前存在的分發禁止並保證活動惡意軟件和漏洞的安裝或交付之外,以下條件也已添加到DMCA合規性規則中:
明確禁止將技術放置在存儲庫中以規避技術保護手段 版權,包括許可證密鑰,以及用於生成密鑰,跳過密鑰驗證並延長空閒時間的程序。
在此提到,正在引入該過程以提出消除所述代碼的請求。 刪除申請人必須提供技術細節, 明確表示有意在鎖定之前提交申請以進行審查。
通過封鎖存儲庫,他們承諾提供導出問題和公共關係的能力,並提供法律服務。
該漏洞利用程序和惡意軟件策略的變化反映了在Microsoft刪除用於進行攻擊的Microsoft Exchange漏洞利用原型後的批評。 新規則試圖將用於進行主動攻擊的危險內容與安全調查隨附的代碼明確區分。 所做的更改:
不僅禁止攻擊GitHub用戶 與以前一樣,利用漏洞發佈內容或將GitHub用作漏洞傳遞工具, 還會發布伴隨主動攻擊的惡意代碼和漏洞利用。 通常,不禁止發佈在安全研究過程中開發的,可能影響已經修復的漏洞的利用示例,但這完全取決於術語“主動攻擊”的解釋方式。
例如,以任何形式攻擊瀏覽器的JavaScript源代碼發布都屬於以下條件:攻擊者不會通過搜索,自動修補是否在Windows Server XNUMX中發布其利用程序原型來阻止攻擊者將源代碼下載到受害者的瀏覽器。無法使用的表單,然後運行它。
對於其他任何代碼(例如在C ++中),也是如此:沒有什麼阻止它在受攻擊的計算機上編譯和運行。 如果找到具有此類代碼的存儲庫,則計劃不刪除它,而是關閉對其的訪問。
除此之外,它還添加了:
- 一項條款,解釋了在不同意封鎖的情況下提起上訴的可能性。
- 作為安全研究的一部分,存儲庫所有者託管潛在危險內容的要求。 必須在README.md文件的開頭明確提及此類內容的存在,並且必須在SECURITY.md文件中提供通信的詳細聯繫信息。
據說GitHub通常不會刪除已發布的漏洞以及針對已披露漏洞的安全性研究(不是第0天),但是如果認為仍然存在使用這些In-service和Real-world的風險,則保留限制訪問的能力。攻擊漏洞GitHub支持已收到有關使用代碼進行攻擊的投訴。
更改仍處於草稿狀態,可以討論30天。