GitHub publikigis politikajn ŝanĝojn, kiuj skizas politikojn pri afiŝado de ekspluatoj kaj malware-esplorado, kaj ankaŭ konformecon al la usona Cifereca Jarmila Kopirajto-Leĝo (DMCA). La ŝanĝoj ankoraŭ estas en malneto, disponeblaj por diskuto ene de 30 tagoj.
Aldone al la antaŭe nuna malpermeso pri distribuado kaj certigado de la instalado aŭ livero de aktivaj malware kaj ekspluatoj, la sekvaj kondiĉoj estis aldonitaj al la DMCA-konformaj reguloj:
- Eksplicita malpermeso meti en la deponejon teknologiojn por preterpasi teknikajn rimedojn de kopirajtoprotekto, inkluzive de permesilaj ŝlosiloj, kaj ankaŭ programojn por generi ŝlosilojn, preterpasi ŝlosilkontrolon kaj plilongigi la liberan periodon de laboro.
- Proceduro por prezenti peton por forigi tian kodon estas enkondukata. La kandidato por forigo devas provizi teknikajn detalojn, kun deklarita intenco prezenti la peton por ekzameno antaŭ blokado.
- Kiam la deponejo estas blokita, ili promesas provizi la kapablon eksporti aferojn kaj PR-ojn, kaj oferti jurajn servojn.
La ŝanĝoj al la ekspluataĵoj kaj malware-reguloj traktas kritikojn, kiuj venis post kiam Mikrosofto forigis prototipan ekspluatadon de Microsoft Exchange uzata por lanĉi atakojn. La novaj reguloj provas eksplicite apartigi danĝeran enhavon uzatan por aktivaj atakoj de kodo, kiu subtenas sekurecan esploradon. Ŝanĝoj faritaj:
- Estas malpermesite ne nur ataki uzantojn de GitHub per afiŝado de enhavo kun ekspluataĵoj sur ĝi aŭ uzi GitHub kiel rimedon por liveri ekspluatojn, kiel antaŭe, sed ankaŭ afiŝi malican kodon kaj ekspluataĵojn kiuj akompanas aktivajn atakojn. Ĝenerale, ne estas malpermesite afiŝi ekzemplojn de ekspluatoj preparitaj dum sekureca esplorado kaj influantaj vundeblecojn, kiuj jam estis riparitaj, sed ĉio dependos de kiel la termino "aktivaj atakoj" estas interpretita.
Ekzemple, publikigi JavaScript-kodon en ajna formo de fontoteksto kiu atakas retumilon kategoriiĝas sub ĉi tiu kriterio - nenio malhelpas la atakanton elŝuti la fontkodon en la retumilon de la viktimo uzante fetch, aŭtomate flikante ĝin se la ekspluatprototipo estas publikigita en nefunkciebla formo. , kaj plenumante ĝin. Simile kun iu ajn alia kodo, ekzemple en C++ - nenio malhelpas vin kompili ĝin sur la atakita maŝino kaj ekzekuti ĝin. Se deponejo kun simila kodo estas malkovrita, oni planas ne forigi ĝin, sed bloki aliron al ĝi.
- La sekcio malpermesanta "spamon", trompadon, partoprenon en la trompa merkato, programoj por malobservi la regulojn de iuj retejoj, phishing kaj ĝiaj provoj estis movita pli alten en la teksto.
- Alineo estis aldonita klarigante la eblecon prezenti apelacion en kazo de malkonsento kun la blokado.
- Postulo estis aldonita por posedantoj de deponejoj kiuj gastigas eble danĝeran enhavon kiel parto de sekureca esplorado. La ĉeesto de tia enhavo devas esti eksplicite menciita komence de la dosiero README.md, kaj kontaktinformoj devas esti provizitaj en la dosiero SECURITY.md. Estas deklarite, ke ĝenerale GitHub ne forigas ekspluatojn publikigitajn kune kun sekureca esplorado por jam malkaŝitaj vundeblecoj (ne 0-tago), sed rezervas la ŝancon limigi aliron se ĝi konsideras, ke restas risko, ke ĉi tiuj ekspluatoj estu uzataj por realaj atakoj. kaj en la servo GitHub-subteno ricevis plendojn pri la kodo uzata por atakoj.
fonto: opennet.ru