GitHub апублікаваў змены правіл, якія вызначаюць палітыку ў дачыненні да размяшчэння эксплоітаў і вынікаў даследавання шкоднаснага ПА, а таксама захавання дзеючага ў ЗША Закона аб аўтарскім праве ў лічбавую эпоху (DMCA). Змяненні пакуль знаходзяцца ў стане чарнавіка, даступнага для абмеркавання на працягу 30 дзён.
У правілы захавання DMCA, акрамя раней прысутнічалай забароны распаўсюджвання і забеспячэнні ўсталёўкі ці дастаўкі актыўнага шкоднаснага ПА і эксплоітаў, дададзены наступныя ўмовы:
- Відавочная забарона памяшкання ў рэпазітары тэхналогій для абыходу тэхнічных сродкаў абароны аўтарскіх правоў, уключаючы ліцэнзійныя ключы, а таксама праграмы для генерацыі ключоў, абыходу праверкі ключоў і падаўжэнні бясплатнага перыяду працы.
- Уводзіцца парадак падачы заяўкі на выдаленне такога кода. Ад таго, хто падае заяўку на выдаленне, патрабуецца прадастаўленне тэхнічных дэталяў, з задэклараваным намерам перадаць гэтую заяўку на экспертызу да блакіроўкі.
- Пры блакіроўцы рэпазітара абяцаюць забяспечыць магчымасць экспартаваць issuе і PR-ы, і прапанаваць юрыдычныя паслугі.
Змены, унесеныя ў правілы, датычныя эксплоітаў і шкоднаснага ПА, улічваюць крытыку, якая прагучала пасля выдалення кампаніяй Microsoft прататыпа эксплоіта для Microsoft Exchange, выкарыстоўванага для здзяйснення нападаў. У новых правілах зроблена спроба відавочнага аддзялення змесціва, якое прадстаўляе небяспеку і выкарыстоўваецца для здзяйснення актыўных нападаў, і кода, які суправаджае даследаванні ў вобласці бяспекі. Унесеныя змены:
- Забаронена не толькі атакаваць карыстальнікаў GitHub шляхам размяшчэння на ім кантэнту з эксплоітамі або выкарыстоўваць GitHub як сродак дастаўкі эксплоітаў, як было раней, але і размяшчаць шкоднасны код і эксплоіты, якія спадарожнічаюць правядзенню актыўных нападаў. У агульным выглядзе не забаронена размяшчэнне прыкладаў эксплоітаў, падрыхтаваных падчас даследаванняў бяспекі і якія закранаюць ужо выпраўленыя ўразлівасці, але ўсё будзе залежаць ад таго, як тлумачыць тэрмін «актыўныя напады».
Напрыклад, публікацыя ў любым выглядзе зыходных тэкстаў JavaScript-кода, атакавалага браўзэр, падпадае пад дадзены крытэр - зламысніку нічога не мяшае загрузіць зыходны код у браўзэр ахвяры fetch-ем, аўтаматычна прапатчыць, калі прататып эксплоита апублікаваны ў непрацаздольным выглядзе, і выканаць. Аналагічна з любым іншым кодам, напрыклад на C++, нішто не мяшае скампіляваць яго на атакаванай машыне, і выканаць. Пры выяўленні рэпазітара з падобным кодам яго плануецца не выдаляць, а зачыняць да яго доступ.
- Перанесены вышэй па тэксце раздзел, які забараняе "спам", накруткі, удзел у рынку накрутак, праграмы для парушэння правілаў якіх-небудзь сайтаў, фішынг і яго спробы.
- Дададзены пункт з тлумачэннем магчымасці падачы апеляцыі ў выпадку нязгоды з блакіроўкай.
- Дададзена патрабаванне да ўладальнікаў рэпазітараў, у якіх у рамках даследаванняў бяспекі размяшчаецца патэнцыйна небяспечнае змесціва. Наяўнасць падобнага змесціва павінна быць відавочна згадана спачатку файла README.md, а ў файле SECURITY.md павінны быць прадстаўлены кантактныя дадзеныя для сувязі. Указана, што ў агульным выглядзе GitHub не выдаляе эксплоіты, апублікаваныя разам з даследаваннямі бяспекі для ўжо расчыненых уразлівасцяў (не 0-day), але пакідае за сабой магчымасць абмежаваць доступ, калі палічыць, што захоўваецца рызыка ўжывання дадзеных эксплоітаў для рэальных нападаў і ў службу падтрымкі GitHub паступаюць скаргі аб выкарыстанні кода для нападаў.
Крыніца: opennet.ru