GitHub hat Richtlinienänderungen veröffentlicht, die Richtlinien für die Veröffentlichung von Exploits und Malware-Forschung sowie die Einhaltung des US-amerikanischen Digital Millennium Copyright Act (DMCA) darlegen. Die Änderungen befinden sich noch im Entwurfsstatus und können innerhalb von 30 Tagen besprochen werden.
Zusätzlich zum bisher geltenden Verbot der Verbreitung und Sicherstellung der Installation oder Bereitstellung aktiver Schadsoftware und Exploits wurden die folgenden Bestimmungen zu den DMCA-Compliance-Regeln hinzugefügt:
- Ausdrückliches Verbot der Hinterlegung von Technologien zur Umgehung technischer Mittel des Urheberrechtsschutzes, einschließlich Lizenzschlüsseln, sowie von Programmen zur Schlüsselgenerierung, Umgehung der Schlüsselüberprüfung und Verlängerung der kostenlosen Arbeitsdauer.
- Es wird ein Verfahren zur Einreichung eines Antrags auf Entfernung eines solchen Codes eingeführt. Der Löschungsantragsteller ist verpflichtet, technische Angaben zu machen und zu erklären, dass er den Antrag vor der Sperrung zur Prüfung einreichen möchte.
- Wenn das Repository gesperrt ist, versprechen sie, die Möglichkeit zum Exportieren von Problemen und PRs zu bieten und juristische Dienstleistungen anzubieten.
Die Änderungen an den Exploits und Malware-Regeln reagieren auf Kritik, die aufkam, nachdem Microsoft einen Prototyp eines Microsoft Exchange-Exploits entfernt hatte, der zum Starten von Angriffen verwendet wurde. Die neuen Regeln versuchen, gefährliche Inhalte, die für aktive Angriffe verwendet werden, explizit von Code zu trennen, der die Sicherheitsforschung unterstützt. Änderungen vorgenommen:
- Es ist nicht nur verboten, GitHub-Benutzer anzugreifen, indem Inhalte mit Exploits veröffentlicht werden oder GitHub als Mittel zur Bereitstellung von Exploits verwendet wird, wie es zuvor der Fall war, sondern auch das Posten von Schadcode und Exploits, die mit aktiven Angriffen einhergehen. Im Allgemeinen ist es nicht verboten, Beispiele für Exploits zu veröffentlichen, die im Rahmen der Sicherheitsforschung vorbereitet wurden und sich auf bereits behobene Schwachstellen auswirken. Es hängt jedoch alles davon ab, wie der Begriff „aktive Angriffe“ interpretiert wird.
Beispielsweise fällt die Veröffentlichung von JavaScript-Code in irgendeiner Form von Quelltext, der einen Browser angreift, unter dieses Kriterium – nichts hindert den Angreifer daran, den Quellcode per Fetch in den Browser des Opfers herunterzuladen und ihn automatisch zu patchen, wenn der Exploit-Prototyp in einer nicht funktionsfähigen Form veröffentlicht wird , und es ausführen. Ähnlich verhält es sich mit jedem anderen Code, zum Beispiel in C++ – nichts hindert Sie daran, ihn auf dem angegriffenen Computer zu kompilieren und auszuführen. Sollte ein Repository mit ähnlichem Code entdeckt werden, ist geplant, dieses nicht zu löschen, sondern den Zugriff darauf zu sperren.
- Der Abschnitt zum Verbot von „Spam“, Betrug, Teilnahme am Betrugsmarkt, Programmen zum Verstoß gegen die Regeln jeglicher Websites, Phishing und seinen Versuchen wurde im Text nach oben verschoben.
- Es wurde ein Absatz hinzugefügt, der die Möglichkeit erläutert, Berufung einzulegen, wenn man mit der Sperrung nicht einverstanden ist.
- Im Rahmen der Sicherheitsforschung wurde eine Anforderung für Besitzer von Repositories hinzugefügt, die potenziell gefährliche Inhalte hosten. Das Vorhandensein solcher Inhalte muss am Anfang der Datei README.md ausdrücklich erwähnt werden und Kontaktinformationen müssen in der Datei SECURITY.md angegeben werden. Es wird darauf hingewiesen, dass GitHub im Allgemeinen keine Exploits entfernt, die zusammen mit Sicherheitsrecherchen für bereits offengelegte Schwachstellen veröffentlicht werden (nicht 0-Day), sondern sich die Möglichkeit vorbehält, den Zugriff einzuschränken, wenn es der Ansicht ist, dass weiterhin das Risiko besteht, dass diese Exploits für echte Angriffe genutzt werden und im GitHub-Support des Dienstes sind Beschwerden darüber eingegangen, dass der Code für Angriffe verwendet wird.
Source: opennet.ru