GitHub публикува промени в политиката, които очертават политики относно публикуването на експлойти и изследвания на злонамерен софтуер, както и спазването на Закона за авторското право в цифровото хилядолетие на САЩ (DMCA). Промените все още са в състояние на чернова, достъпни за обсъждане в рамките на 30 дни.
В допълнение към съществуващата по-рано забрана за разпространение и осигуряване на инсталиране или доставка на активен злонамерен софтуер и експлойти, следните условия са добавени към правилата за съответствие с DMCA:
- Изрична забрана за поставяне в хранилището на технологии за заобикаляне на технически средства за защита на авторските права, включително лицензионни ключове, както и програми за генериране на ключове, заобикаляне на проверката на ключове и удължаване на безплатния период на работа.
- Въвежда се процедура за подаване на заявление за премахване на такъв код. Заявителят за заличаване е длъжен да предостави технически подробности, с декларирано намерение да подаде заявлението за разглеждане преди блокиране.
- Когато хранилището е блокирано, те обещават да предоставят възможност за експортиране на проблеми и PR и да предлагат правни услуги.
Промените в правилата за експлойти и злонамерен софтуер адресират критиките, които дойдоха, след като Microsoft премахна прототип на Microsoft Exchange експлойт, използван за стартиране на атаки. Новите правила се опитват изрично да отделят опасното съдържание, използвано за активни атаки, от кода, който поддържа проучване на сигурността. Направени промени:
- Забранено е не само да се атакуват потребители на GitHub чрез публикуване на съдържание с експлойти върху него или да се използва GitHub като средство за доставяне на експлойти, както беше преди, но също така и публикуването на зловреден код и експлойти, които придружават активни атаки. По принцип не е забранено да се публикуват примери за експлойти, подготвени по време на проучване на сигурността и засягащи уязвимости, които вече са коригирани, но всичко ще зависи от това как се тълкува терминът „активни атаки“.
Например, публикуването на JavaScript код във всякаква форма на изходен текст, който атакува браузър, попада под този критерий - нищо не пречи на атакуващия да изтегли изходния код в браузъра на жертвата чрез извличане, автоматично да го закърпи, ако прототипът на експлойта е публикуван в неработеща форма , и изпълнението му. По същия начин с всеки друг код, например в C++ - нищо не ви пречи да го компилирате на атакуваната машина и да го изпълните. Ако бъде открито хранилище с подобен код, се планира то да не се изтрива, а да се блокира достъпът до него.
- Разделът, забраняващ „спам“, измама, участие в пазара за измама, програми за нарушаване на правилата на всякакви сайтове, фишинг и опитите за него са преместени по-нагоре в текста.
- Добавен е параграф, обясняващ възможността за подаване на жалба в случай на несъгласие с блокирането.
- Добавено е изискване за собствениците на хранилища, които хостват потенциално опасно съдържание като част от проучване за сигурност. Наличието на такова съдържание трябва да бъде изрично упоменато в началото на файла README.md, а информацията за контакт трябва да бъде предоставена във файла SECURITY.md. Посочва се, че като цяло GitHub не премахва експлойти, публикувани заедно с проучване на сигурността за вече разкрити уязвимости (не 0-дневни), но си запазва възможността да ограничи достъпа, ако прецени, че остава рискът тези експлойти да бъдат използвани за реални атаки и в услугата поддръжката на GitHub е получила оплаквания относно използването на кода за атаки.
Източник: opennet.ru