Mae GitHub wedi cyhoeddi newidiadau polisi sy'n amlinellu polisïau ynghylch postio campau ac ymchwil malware, yn ogystal â chydymffurfio â Deddf Hawlfraint Mileniwm Digidol yr UD (DMCA). Mae'r newidiadau yn dal mewn statws drafft, ar gael i'w trafod o fewn 30 diwrnod.
Yn ogystal â’r gwaharddiad a oedd yn bodoli’n flaenorol ar ddosbarthu a sicrhau bod meddalwedd maleisus gweithredol yn cael ei osod neu ei ddosbarthu, mae’r telerau canlynol wedi’u hychwanegu at reolau cydymffurfio DMCA:
- Gwaharddiad penodol ar osod yn y storfa dechnolegau ar gyfer osgoi dulliau technegol o amddiffyn hawlfraint, gan gynnwys allweddi trwydded, yn ogystal â rhaglenni ar gyfer cynhyrchu allweddi, osgoi dilysu allweddol ac ymestyn y cyfnod rhydd o waith.
- Mae gweithdrefn ar gyfer ffeilio cais i ddileu cod o'r fath yn cael ei chyflwyno. Mae'n ofynnol i'r ymgeisydd i'w ddileu ddarparu manylion technegol, gyda bwriad datganedig i gyflwyno'r cais i'w archwilio cyn blocio.
- Pan fydd y storfa wedi'i blocio, maent yn addo darparu'r gallu i allforio materion a chysylltiadau cyhoeddus, a chynnig gwasanaethau cyfreithiol.
Mae'r newidiadau i'r gorchestion a rheolau drwgwedd yn mynd i'r afael â beirniadaeth a ddaeth ar ôl i Microsoft ddileu prototeip o ecsbloetio Microsoft Exchange a ddefnyddiwyd i lansio ymosodiadau. Mae'r rheolau newydd yn ceisio gwahanu'n benodol gynnwys peryglus a ddefnyddir ar gyfer ymosodiadau gweithredol oddi wrth god sy'n cefnogi ymchwil diogelwch. Newidiadau a wnaed:
- Gwaherddir nid yn unig ymosod ar ddefnyddwyr GitHub trwy bostio cynnwys gyda gorchestion arno neu ddefnyddio GitHub fel modd o gyflawni campau, fel y digwyddodd o'r blaen, ond hefyd i bostio cod maleisus a champau sy'n cyd-fynd ag ymosodiadau gweithredol. Yn gyffredinol, ni waherddir postio enghreifftiau o gampau a baratowyd yn ystod ymchwil diogelwch ac sy'n effeithio ar wendidau sydd eisoes wedi'u trwsio, ond bydd popeth yn dibynnu ar sut y dehonglir y term “ymosodiadau gweithredol”.
Er enghraifft, mae cyhoeddi cod JavaScript mewn unrhyw fath o destun ffynhonnell sy'n ymosod ar borwr yn dod o dan y maen prawf hwn - nid oes dim yn atal yr ymosodwr rhag llwytho'r cod ffynhonnell i mewn i borwr y dioddefwr gan ddefnyddio fetch, gan ei glytio'n awtomatig os yw'r prototeip ecsbloetio yn cael ei gyhoeddi ar ffurf anweithredol , a'i ddienyddio. Yn yr un modd ag unrhyw god arall, er enghraifft yn C ++ - nid oes dim yn eich atal rhag ei lunio ar y peiriant yr ymosodwyd arno a'i weithredu. Os darganfyddir ystorfa gyda chod tebyg, y bwriad yw peidio â'i dileu, ond rhwystro mynediad ati.
- Mae'r adran sy'n gwahardd “spam”, twyllo, cymryd rhan yn y farchnad dwyllo, rhaglenni ar gyfer torri rheolau unrhyw safleoedd, gwe-rwydo a'i ymdrechion wedi'u symud yn uwch yn y testun.
- Mae paragraff wedi'i ychwanegu yn egluro'r posibilrwydd o ffeilio apêl rhag ofn y bydd anghytundeb â'r blocio.
- Mae gofyniad wedi'i ychwanegu ar gyfer perchnogion storfeydd sy'n cynnal cynnwys a allai fod yn beryglus fel rhan o ymchwil diogelwch. Rhaid crybwyll presenoldeb cynnwys o'r fath yn benodol ar ddechrau'r ffeil README.md, a rhaid darparu gwybodaeth gyswllt yn y ffeil SECURITY.md. Dywedir yn gyffredinol nad yw GitHub yn dileu campau a gyhoeddwyd ynghyd ag ymchwil diogelwch ar gyfer gwendidau a ddatgelwyd eisoes (nid 0-day), ond mae'n cadw'r cyfle i gyfyngu mynediad os yw'n ystyried bod risg o hyd y bydd y campau hyn yn cael eu defnyddio ar gyfer ymosodiadau gwirioneddol. ac yn y gwasanaeth mae cymorth GitHub wedi derbyn cwynion am y cod yn cael ei ddefnyddio ar gyfer ymosodiadau.
Ffynhonnell: opennet.ru