GitHub, istismar və zərərli proqram araşdırmalarının yerləşdirilməsi, həmçinin ABŞ Rəqəmsal Minilliyin Müəllif Hüquqları Aktı (DMCA) ilə uyğunluqla bağlı siyasətləri əks etdirən siyasət dəyişikliklərini dərc edib. Dəyişikliklər hələ də layihə statusundadır və 30 gün ərzində müzakirə oluna bilər.
Aktiv zərərli proqramların və istismarların yayılması və quraşdırılması və ya çatdırılması ilə bağlı əvvəllər mövcud olan qadağaya əlavə olaraq, DMCA uyğunluq qaydalarına aşağıdakı şərtlər əlavə edilmişdir:
- Müəllif hüquqlarının qorunmasının texniki vasitələrindən, o cümlədən lisenziya açarlarından yan keçmək texnologiyalarının, habelə açarların yaradılması üçün proqramların, açarların yoxlanılmasından yan keçməsi və işin sərbəst müddətinin uzadılması üçün repozitoriyada yerləşdirilməsinin açıq şəkildə qadağan edilməsi.
- Belə kodun silinməsi üçün ərizənin verilməsi proseduru tətbiq edilir. Silinmək üçün ərizəçi bloklamadan əvvəl ərizəni ekspertiza üçün təqdim etmək niyyəti ilə texniki təfərrüatları təqdim etməlidir.
- Anbar bloklandıqda, onlar emissiyaları və PR-ləri ixrac etmək və hüquqi xidmətlər təklif etmək imkanı verəcəklərini vəd edirlər.
İstismarlar və zərərli proqram qaydalarına edilən dəyişikliklər Microsoft-un hücumlara başlamaq üçün istifadə edilən Microsoft Exchange eksploitinin prototipini sildikdən sonra gələn tənqidlərə ünvanlanıb. Yeni qaydalar aktiv hücumlar üçün istifadə edilən təhlükəli məzmunu təhlükəsizlik araşdırmalarını dəstəkləyən koddan açıq şəkildə ayırmağa çalışır. Dəyişikliklər edildi:
- GitHub istifadəçilərinə yalnız eksploitləri olan məzmun yerləşdirməklə hücum etmək və ya əvvəllər olduğu kimi GitHub-dan eksploitlərin çatdırılması vasitəsi kimi istifadə etmək deyil, həm də aktiv hücumları müşayiət edən zərərli kod və istismarları yerləşdirmək qadağandır. Ümumiyyətlə, təhlükəsizlik araşdırmaları zamanı hazırlanmış və artıq aradan qaldırılmış zəifliklərə təsir göstərən istismar nümunələrinin yerləşdirilməsi qadağan edilmir, lakin hər şey “aktiv hücumlar” termininin necə şərh edilməsindən asılı olacaq.
Məsələn, brauzerə hücum edən hər hansı mənbə mətnində JavaScript kodunu dərc etmək bu meyarın altına düşür - heç bir şey təcavüzkarın mənbə kodunu gətirmə funksiyasından istifadə edərək qurbanın brauzerinə yükləməsinə mane olmur, istismar prototipi işlək olmayan formada dərc edilirsə, onu avtomatik olaraq yamaqlayır. , və onun icrası. Eynilə, hər hansı digər kodla, məsələn, C++ dilində - onu hücuma məruz qalan maşında tərtib etməyə və icra etməyə heç nə mane olmur. Oxşar kodu olan anbar aşkar edilərsə, onun silinməsi yox, ona girişin bloklanması planlaşdırılır.
- Mətndə “spam”, fırıldaqçılıq, fırıldaqçı bazarda iştirak, hər hansı saytların qaydalarını pozan proqramlar, fişinq və onun cəhdlərini qadağan edən bölmə yuxarıya daşınıb.
- Bloklama ilə razılaşmadıqda apellyasiya şikayətinin verilməsinin mümkünlüyünü izah edən bənd əlavə edilib.
- Təhlükəsizlik tədqiqatının bir hissəsi kimi potensial təhlükəli məzmunu saxlayan depo sahibləri üçün tələb əlavə edildi. Belə məzmunun olması README.md faylının əvvəlində açıq şəkildə qeyd edilməli və əlaqə məlumatı SECURITY.md faylında təqdim edilməlidir. Bildirilir ki, ümumilikdə GitHub artıq açıqlanmış zəifliklər üçün (0 gün deyil) təhlükəsizlik araşdırması ilə birlikdə dərc edilmiş istismarları silmir, lakin bu istismarların real hücumlar üçün istifadə edilməsi riskinin qaldığını hesab edərsə, girişi məhdudlaşdırmaq imkanını özündə saxlayır. və xidmətdə GitHub dəstəyi hücumlar üçün istifadə edilən kodla bağlı şikayətlər alıb.
Mənbə: opennet.ru