GitHub har offentliggjort politikændringer, der skitserer politikker vedrørende offentliggørelse af udnyttelser og malware-forskning, samt overholdelse af den amerikanske Digital Millennium Copyright Act (DMCA). Ændringerne er stadig i udkaststatus, tilgængelige for diskussion inden for 30 dage.
Ud over det tidligere nuværende forbud mod distribution og sikring af installation eller levering af aktiv malware og udnyttelser, er følgende vilkår blevet tilføjet til DMCA-overholdelsesreglerne:
- Eksplicit forbud mod at placere teknologier til at omgå tekniske midler til ophavsretsbeskyttelse, herunder licensnøgler, samt programmer til generering af nøgler, omgåelse af nøgleverifikation og forlængelse af den frie arbejdsperiode i depotet.
- En procedure for indgivelse af en ansøgning om at fjerne en sådan kode er ved at blive indført. Ansøgeren om sletning er forpligtet til at give tekniske detaljer med en erklæret hensigt om at indsende ansøgningen til undersøgelse inden blokering.
- Når depotet er blokeret, lover de at give mulighed for at eksportere problemer og PR'er og tilbyde juridiske tjenester.
Ændringerne af udnyttelsen og malware-reglerne adresserer kritik, der kom efter, at Microsoft fjernede en prototype af Microsoft Exchange-udnyttelse, der blev brugt til at starte angreb. De nye regler forsøger eksplicit at adskille farligt indhold, der bruges til aktive angreb, fra kode, der understøtter sikkerhedsforskning. Ændringer foretaget:
- Det er forbudt ikke kun at angribe GitHub-brugere ved at poste indhold med udnyttelser på eller at bruge GitHub som et middel til at levere exploits, som det var tilfældet før, men også at poste ondsindet kode og udnyttelser, der ledsager aktive angreb. Generelt er det ikke forbudt at poste eksempler på udnyttelser, der er udarbejdet under sikkerhedsundersøgelser og påvirker sårbarheder, som allerede er rettet, men alt vil afhænge af, hvordan begrebet "aktive angreb" fortolkes.
For eksempel falder udgivelse af JavaScript-kode i enhver form for kildetekst, der angriber en browser, under dette kriterium - intet forhindrer angriberen i at downloade kildekoden til offerets browser ved hjælp af hentning, og automatisk patche den, hvis udnyttelsesprototypen udgives i en ubrugelig form , og udføre det. På samme måde med enhver anden kode, for eksempel i C++ - intet forhindrer dig i at kompilere den på den angrebne maskine og udføre den. Hvis et lager med lignende kode opdages, er det planlagt ikke at slette det, men at blokere adgangen til det.
- Afsnittet, der forbyder "spam", snyd, deltagelse i snydemarkedet, programmer for overtrædelse af reglerne på ethvert websted, phishing og dets forsøg er blevet flyttet højere op i teksten.
- Der er tilføjet et afsnit, der forklarer muligheden for at anke i tilfælde af uenighed om spærringen.
- Der er tilføjet et krav til ejere af repositories, der hoster potentielt farligt indhold som en del af sikkerhedsundersøgelser. Tilstedeværelsen af sådant indhold skal udtrykkeligt nævnes i begyndelsen af filen README.md, og kontaktoplysninger skal angives i filen SECURITY.md. Det anføres, at GitHub generelt ikke fjerner udnyttelser offentliggjort sammen med sikkerhedsforskning for allerede afslørede sårbarheder (ikke 0-dages), men forbeholder sig muligheden for at begrænse adgangen, hvis den vurderer, at der fortsat er en risiko for, at disse udnyttelser bliver brugt til reelle angreb og i tjenesten GitHub support har modtaget klager over, at koden bliver brugt til angreb.
Kilde: opennet.ru