GitHub het beleidsveranderinge gepubliseer wat beleide uiteensit rakende die plasing van misbruik en wanware-navorsing, sowel as voldoening aan die Amerikaanse Digital Millennium Copyright Act (DMCA). Die veranderinge is steeds in konsepstatus, beskikbaar vir bespreking binne 30 dae.
Benewens die voorheen huidige verbod op die verspreiding en versekering van die installering of aflewering van aktiewe wanware en misbruik, is die volgende bepalings by die DMCA-nakomingsreëls gevoeg:
- Eksplisiete verbod op die plasing van tegnologieë in die bewaarplek vir die omseil van tegniese middele van kopieregbeskerming, insluitend lisensiesleutels, sowel as programme om sleutels te genereer, sleutelverifikasie te omseil en die gratis tydperk van werk te verleng.
- 'n Prosedure vir die indiening van 'n aansoek om so 'n kode te verwyder word ingestel. Daar word van die aansoeker om skrapping vereis om tegniese besonderhede te verskaf, met 'n verklaarde voorneme om die aansoek vir ondersoek in te dien voor blokkering.
- Wanneer die bewaarplek geblokkeer word, belowe hulle om die vermoë te bied om kwessies en PR's uit te voer, en regsdienste aan te bied.
Die veranderinge aan die misbruik en wanware-reëls spreek kritiek aan wat gekom het nadat Microsoft 'n prototipe Microsoft Exchange-uitbuiting verwyder het wat gebruik is om aanvalle te loods. Die nuwe reëls poog om gevaarlike inhoud wat vir aktiewe aanvalle gebruik word, uitdruklik te skei van kode wat sekuriteitsnavorsing ondersteun. Veranderinge gemaak:
- Dit is verbode om nie net GitHub-gebruikers aan te val deur inhoud met uitbuitings daarop te plaas of om GitHub te gebruik as 'n manier om uitbuitings te lewer, soos voorheen die geval was nie, maar ook om kwaadwillige kode en uitbuitings te plaas wat aktiewe aanvalle vergesel. Oor die algemeen is dit nie verbode om voorbeelde te plaas van uitbuitings wat tydens sekuriteitsnavorsing voorberei is en wat kwesbaarhede raak wat reeds reggestel is nie, maar alles sal afhang van hoe die term "aktiewe aanvalle" geïnterpreteer word.
Byvoorbeeld, die publisering van JavaScript-kode in enige vorm van bronteks wat 'n blaaier aanval, val onder hierdie kriterium - niks verhinder die aanvaller om die bronkode in die slagoffer se blaaier af te laai deur gebruik te maak van haal, en dit outomaties reg te maak as die ontginningsprototipe in 'n onwerkbare vorm gepubliseer word , en die uitvoering daarvan. Net so met enige ander kode, byvoorbeeld in C++ - niks verhoed jou om dit op die aangeval masjien saam te stel en dit uit te voer nie. As 'n bewaarplek met soortgelyke kode ontdek word, word daar beplan om dit nie uit te vee nie, maar om toegang daartoe te blokkeer.
- Die afdeling wat "spam", bedrog, deelname aan die bedrogmark, programme vir die oortreding van die reëls van enige werwe, uitvissing en sy pogings verbied, is hoër in die teks geskuif.
- 'n Paragraaf is bygevoeg wat die moontlikheid verduidelik om 'n appèl aan te teken in geval van onenigheid met die blokkering.
- 'n Vereiste is bygevoeg vir eienaars van bewaarplekke wat potensieel gevaarlike inhoud huisves as deel van sekuriteitsnavorsing. Die teenwoordigheid van sulke inhoud moet uitdruklik aan die begin van die README.md-lêer genoem word, en kontakinligting moet in die SECURITY.md-lêer verskaf word. Dit word gestel dat GitHub in die algemeen nie uitbuitings wat saam met sekuriteitsnavorsing gepubliseer is vir reeds geopenbaarde kwesbaarhede verwyder nie (nie 0-dag nie), maar die geleentheid behou om toegang te beperk as dit van mening is dat daar 'n risiko bly dat hierdie misbruik vir werklike aanvalle gebruik word en in die diens het GitHub-ondersteuning klagtes ontvang oor die kode wat vir aanvalle gebruik word.
Bron: opennet.ru