نشر GitHub تغييرات في السياسة تحدد السياسات المتعلقة بنشر برمجيات استغلال الثغرات وأبحاث البرامج الضارة، بالإضافة إلى الامتثال لقانون حقوق النشر الرقمية للألفية (DMCA) الأمريكي. لا تزال التغييرات في حالة المسودة، وهي متاحة للمناقشة في غضون 30 يومًا.
بالإضافة إلى الحظر الحالي على توزيع وضمان تثبيت أو تسليم البرامج الضارة النشطة وبرمجيات الاستغلال، تمت إضافة الشروط التالية إلى قواعد الامتثال لقانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية:
- حظر صريح لوضع تقنيات في المستودع لتجاوز الوسائل التقنية لحماية حقوق الطبع والنشر، بما في ذلك مفاتيح الترخيص، بالإضافة إلى برامج إنشاء المفاتيح وتجاوز التحقق من المفاتيح وتمديد فترة العمل المجانية.
- يتم تقديم إجراء لتقديم طلب لإزالة هذا الرمز. ويشترط على مقدم طلب الحذف تقديم البيانات الفنية، مع الإعلان عن نيته تقديم الطلب للفحص قبل الحجب.
- عندما يتم حظر المستودع، يعدون بتوفير القدرة على تصدير المشكلات والعلاقات العامة وتقديم الخدمات القانونية.
تتناول التغييرات في قواعد الاستغلال والبرامج الضارة الانتقادات التي جاءت بعد أن قامت Microsoft بإزالة النموذج الأولي لاستغلال Microsoft Exchange المستخدم لشن الهجمات. تحاول القواعد الجديدة الفصل بوضوح بين المحتوى الخطير المستخدم في الهجمات النشطة والتعليمات البرمجية التي تدعم الأبحاث الأمنية. التغييرات التي تم إجراؤها:
- يُحظر ليس فقط مهاجمة مستخدمي GitHub عن طريق نشر محتوى به ثغرات أو استخدام GitHub كوسيلة لتقديم برمجيات استغلال الثغرات، كما كان الحال من قبل، ولكن أيضًا نشر التعليمات البرمجية الضارة وبرمجيات الاستغلال المصاحبة للهجمات النشطة. بشكل عام، لا يُمنع نشر أمثلة على عمليات استغلال تم إعدادها أثناء الأبحاث الأمنية وتؤثر على الثغرات الأمنية التي تم إصلاحها بالفعل، ولكن كل شيء سيعتمد على كيفية تفسير مصطلح “الهجمات النشطة”.
على سبيل المثال، نشر تعليمات برمجية JavaScript في أي شكل من أشكال النص المصدر الذي يهاجم المتصفح يندرج تحت هذا المعيار - لا شيء يمنع المهاجم من تنزيل التعليمات البرمجية المصدر في متصفح الضحية باستخدام ميزة الجلب، وتصحيحها تلقائيًا إذا تم نشر النموذج الأولي للاستغلال في شكل غير قابل للتشغيل ، وتنفيذها. وبالمثل مع أي كود آخر، على سبيل المثال في C++ - لا شيء يمنعك من تجميعه على الجهاز المهاجم وتنفيذه. إذا تم اكتشاف مستودع يحتوي على رمز مماثل، فمن المخطط عدم حذفه، ولكن منع الوصول إليه.
- تم نقل القسم الذي يحظر "البريد العشوائي" والغش والمشاركة في سوق الغش وبرامج انتهاك قواعد أي مواقع والتصيد الاحتيالي ومحاولاته إلى أعلى في النص.
- تمت إضافة فقرة توضح إمكانية تقديم استئناف في حالة عدم الاتفاق مع الحجب.
- تمت إضافة متطلب لأصحاب المستودعات التي تستضيف محتوى يحتمل أن يكون خطيرًا كجزء من الأبحاث الأمنية. ويجب الإشارة بوضوح إلى وجود مثل هذا المحتوى في بداية ملف README.md، كما يجب توفير معلومات الاتصال في ملف SECURITY.md. يُذكر أنه بشكل عام، لا يقوم GitHub بإزالة الثغرات المنشورة جنبًا إلى جنب مع الأبحاث الأمنية الخاصة بالثغرات الأمنية التي تم الكشف عنها بالفعل (وليس 0 يوم)، ولكنه يحتفظ بفرصة تقييد الوصول إذا رأى أنه لا يزال هناك خطر من استخدام هذه الثغرات في هجمات حقيقية وفي الخدمة تلقى دعم GitHub شكاوى حول استخدام الكود للهجمات.
المصدر: opennet.ru