GitHub on avaldanud poliitikamuudatused, mis kirjeldavad ärakasutamiste postitamise ja pahavara uurimise eeskirju ning vastavust USA autoriõiguse seadusele (Digital Millennium Copyright Act, DMCA). Muudatused on endiselt mustandi olekus, neid saab arutada 30 päeva jooksul.
Lisaks varem kehtinud aktiivse pahavara ja ärakasutamise levitamise ja installimise või edastamise keelule on DMCA vastavusreeglitesse lisatud järgmised tingimused:
- Selgesõnaline keeld paigutada hoidlasse autoriõiguse kaitse tehnilistest vahenditest möödahiilimise tehnoloogiaid, sealhulgas litsentsivõtmeid, samuti võtmete genereerimise programme, võtmete kontrollimisest mööda hiilimist ja tasuta tööperioodi pikendamist.
- Kasutusel on sellise koodi eemaldamise taotluse esitamise kord. Kustutamise taotleja on kohustatud esitama tehnilised üksikasjad, sooviga esitada taotlus enne blokeerimist läbivaatamiseks.
- Kui hoidla on blokeeritud, lubavad nad pakkuda võimalust eksportida küsimusi ja suhtekorraldusi ning pakkuda õigusteenuseid.
Kasutusviiside ja pahavarareeglite muudatused käsitlevad kriitikat, mis tuli pärast seda, kui Microsoft eemaldas rünnakute käivitamiseks kasutatud Microsoft Exchange'i ärakasutamise prototüübi. Uute reeglitega püütakse selgesõnaliselt eraldada aktiivseteks rünnakuteks kasutatav ohtlik sisu turvauuringuid toetavast koodist. Tehtud muudatused:
- Keelatud on mitte ainult rünnata GitHubi kasutajaid, postitades sellele rünnakuid sisaldavat sisu, või kasutada GitHubi ärakasutamise vahendina, nagu see oli varem, vaid ka postitada pahatahtlikku koodi ja aktiivsete rünnakutega kaasnevaid ärakasutusi. Üldiselt ei ole keelatud postitada näiteid turvauuringute käigus valminud ja juba parandatud turvaauke mõjutavatest ärakasutamistest, kuid kõik sõltub sellest, kuidas mõistet “aktiivsed rünnakud” tõlgendatakse.
Näiteks JavaScripti koodi avaldamine mis tahes kujul brauserit ründavas lähtetekstis kuulub selle kriteeriumi alla – miski ei takista ründajal laadimast lähtekoodi ohvri brauserisse allalaadimise abil, mis muudab selle automaatselt, kui ärakasutamise prototüüp avaldatakse mittetoimival kujul. ja selle täitmine. Samamoodi mis tahes muu koodiga, näiteks C++ keeles – miski ei takista sul seda rünnatavas masinas kompileerimast ja käivitamast. Kui avastatakse sarnase koodiga hoidla, siis plaanitakse seda mitte kustutada, vaid blokeerida juurdepääs sellele.
- Tekstis kõrgemale on tõstetud jaotis, mis keelab “rämpsposti”, petmise, petturul osalemise, mis tahes saitide reeglite rikkumise programmid, andmepüügi ja selle katsed.
- Lisatud on lõik, mis selgitab blokeerimisega mittenõustumise korral kaebuse esitamise võimalust.
- Lisatud on nõue turvauuringute osana potentsiaalselt ohtlikku sisu majutavate hoidlate omanikele. Sellise sisu olemasolu tuleb faili README.md alguses selgelt mainida ja failis SECURITY.md tuleb esitada kontaktteave. Väidetakse, et üldiselt ei eemalda GitHub koos turvauuringutega avaldatud ärakasutusi juba avalikustatud haavatavuste jaoks (mitte 0-päevane), kuid jätab endale võimaluse piirata juurdepääsu, kui leiab, et säilib oht, et neid ärakasutusi kasutatakse tõelisteks rünnakuteks. ja teenuses on GitHubi tugi saanud kaebusi rünnakuteks kasutatava koodi kohta.
Allikas: opennet.ru