GitHub verschärft die Regeln für die Veröffentlichung von Ergebnissen aus Sicherheitsforschung

GitHub hat Änderungen an den Richtlinien veröffentlicht, die die Politik für das Hosting von Exploits und Ergebnissen von Malware-Forschung sowie die Einhaltung des in den USA geltenden Digital Millennium Copyright Act (DMCA) betreffen. Die Änderungen befinden sich derzeit im Entwurfsstatus und sind für Diskussionen über einen Zeitraum von 30 Tagen zugänglich.

Neben dem zuvor bestehenden Verbot, aktives Malware und Exploits zu verbreiten oder bereitzustellen, wurden die folgenden Bedingungen in die DMCA-Einhaltungspolicy aufgenommen:

  • Ein ausdrückliches Verbot, Technologien zum Umgehen von urheberrechtlichen Schutzmaßnahmen in Repositories zu platzieren, einschließlich Lizenzschlüssel sowie Software zum Generieren von Schlüsseln, Umgehen von Schlüsselprüfungen und Verlängern von Testzeiträumen.
  • Ein Verfahren für die Antragstellung zur Entfernung solchen Codes wird eingeführt. Der Antragsteller muss technische Details bereitstellen und die Absicht erklären, den Antrag zur Überprüfung vorzulegen, bevor eine Sperrung erfolgt.
  • Bei der Sperrung eines Repositories wird versprochen, die Möglichkeit zum Exportieren von Issues und PRs zu gewährleisten und juristische Dienstleistungen anzubieten.

Die Änderungen der Regeln zu Exploits und Malware berücksichtigen die Kritik, die nach der Löschung eines Exploit-Prototyps für Microsoft Exchange durch Microsoft laut wurde, der für Angriffe verwendet wurde. In den neuen Regeln wird der Versuch unternommen, den Inhalt, der Gefahren birgt und für aktive Angriffe genutzt wird, klar von dem Code, der sicherheitsrelevante Forschung unterstützt, zu trennen. Die vorgenommenen Änderungen:

  • Es ist nicht nur verboten, Nutzer von GitHub durch das Bereitstellen von Inhalten mit Exploits anzugreifen oder GitHub als Mittel zur Auslieferung von Exploits zu verwenden, wie es zuvor der Fall war, sondern auch, schadhafter Code und Exploits zu veröffentlichen, die mit aktiven Angriffen in Verbindung stehen. Allgemein ist die Veröffentlichung von Beispiel-Exploits, die im Rahmen von Sicherheitsforschung erstellt wurden und bereits gepatchte Schwachstellen betreffen, nicht untersagt, jedoch hängt alles davon ab, wie der Begriff ‚aktive Angriffe‘ interpretiert wird.

    Zum Beispiel fällt die Veröffentlichung jeglicher Art von JavaScript-Quelltexten, die den Browser angreifen, unter dieses Kriterium — der Angreifer hat nichts dagegen, den Quellcode über Fetch in den Browser des Opfers zu laden, automatisch zu patchen, wenn der Exploit-Prototyp in nicht funktionsfähiger Form veröffentlicht wurde, und auszuführen. Ähnlich verhält es sich mit jedem anderen Code, beispielsweise in C++ — es gibt nichts, was es verhindern könnte, ihn auf der angegriffenen Maschine zu kompilieren und auszuführen. Bei der Entdeckung eines Repositorys mit solchem Code wird geplant, den Zugang nicht zu löschen, sondern zu sperren.

  • Der oben im Text verschobene Abschnitt verbietet „Spam“, Manipulationen, die Teilnahme am Manipulationsmarkt, Programme zur Verletzung von Regeln irgendwelcher Websites, Phishing und dessen Versuche.
  • Ein Punkt wurde hinzugefügt, der die Möglichkeit einer Berufung im Falle einer Meinungsverschiedenheit mit der Sperrung erläutert.
  • Eine Anforderung wurde an die Besitzer von Repositories hinzugefügt, in denen potenziell gefährliche Inhalte im Rahmen von Sicherheitsforschungen bereitgestellt werden. Solche Inhalte müssen zu Beginn der Datei README.md ausdrücklich erwähnt werden, und im Dokument SECURITY.md müssen Kontaktdaten zur Verfügung gestellt werden. Es wurde klargestellt, dass GitHub im Allgemeinen Exploits, die zusammen mit Sicherheitsforschungen für bereits bekannte Schwachstellen (nicht 0-day) veröffentlicht werden, nicht entfernt, sich jedoch das Recht vorbehält, den Zugang einzuschränken, wenn das Risiko besteht, dass diese Exploits für tatsächliche Angriffe genutzt werden, und Verbraucher Beschwerden über die Verwendung des Codes für Angriffe bei GitHub einreichen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster