GitHub-ek politika-aldaketak argitaratu ditu, ustiapenak eta malware-ikerketei buruzko politikak zehazten dituztenak, baita AEBetako Digital Millennium Copyright Act (DMCA) betetzea ere. Aldaketak zirriborro egoeran daude oraindik, 30 eguneko epean eztabaidatzeko.
Malware aktiboa eta ustiapenak banatzeko eta instalatzeko edo entregatzeko lehen zegoen debekuaz gain, baldintza hauek gehitu dira DMCA betetzeko arauetan:
- Egile-eskubideak babesteko baliabide teknikoak saihesteko, lizentzia-gakoak barne, baita gakoak sortzeko, gakoen egiaztapena saihesteko eta lan-epe librea luzatzeko programak biltegian jartzeko debeku esplizitua.
- Kode hori kentzeko eskaera bat aurkezteko prozedura ezartzen ari da. Ezabatzeko eskatzaileak xehetasun teknikoak eman behar ditu, blokeatu aurretik eskabidea azterketara aurkezteko asmoa agertuz.
- Biltegia blokeatzen denean, gaiak eta PR-ak esportatzeko eta zerbitzu juridikoak eskainiko dituztela agintzen dute.
Exploitazioen eta malwarearen arauen aldaketek Microsoft-ek erasoak abiarazteko erabiltzen zen Microsoft Exchange ustiapen prototipo bat kendu ondoren etorri ziren kritikei erantzuten diete. Arau berriak eraso aktiboetarako erabiltzen den eduki arriskutsua esplizituki bereizten saiatzen dira segurtasun-ikerketak onartzen dituen kodeatik. Egindako aldaketak:
- Debekatuta dago GitHub-eko erabiltzaileei eraso egiteaz gain ustiapenak dituzten edukiak argitaratuz edo GitHub ustiategiak emateko baliabide gisa erabiltzea, lehen gertatu zen bezala, baita eraso aktiboekin batera datozen kode gaiztoak eta ustiapenak ere argitaratzea. Orokorrean, ez dago debekatuta segurtasun ikerketetan prestatutako ustiatuen adibideak argitaratzea eta dagoeneko konponduta dauden ahultasunei eragiten dietenak, baina dena "eraso aktiboak" terminoa nola interpretatzen denaren araberakoa izango da.
Esaterako, arakatzaile bati erasotzen dion edozein iturburu-testutan argitaratzea JavaScript kodea ez dago irizpide honen menpe; ezerk ez du eragozten erasotzaileari iturburu-kodea biktimen arakatzailean deskargatzea fetch erabiliz, automatikoki adabakia eginez ustiapen-prototipoa funtzionaezina den moduan argitaratzen bada. , eta exekutatzen. Era berean, beste edozein koderekin, adibidez C++-n, ezerk ez dizu eragozten erasotako makinan konpilatu eta exekutatzeko. Antzeko kodea duen biltegi bat aurkitzen bada, ez ezabatzea, sarbidea blokeatzea baizik.
- "Spam", iruzurra, iruzurra merkatuan parte hartzea, edozein gunetako arauak urratzeko programak, phishinga eta bere saiakerak gorago mugitu dira testuan debekatzen dituen atala.
- Paragrafo bat gehitu da blokeoarekin ados ez dagoenean errekurtsoa jartzeko aukera azaltzen duena.
- Baldintza bat gehitu da arriskutsua izan daitekeen edukia hartzen duten biltegien jabeentzat segurtasun-ikerketen barruan. Eduki horien presentzia berariaz aipatu behar da README.md fitxategiaren hasieran, eta harremanetarako informazioa SECURITY.md fitxategian eman behar da. Esan ohi da, oro har, GitHub-ek ez dituela kentzen dagoeneko agerratutako ahultasunen segurtasun-ikerketekin batera argitaratutako ustiaketa (ez 0 egunekoa), baina sarbidea mugatzeko aukera gordetzen du, ustiapen horiek benetako erasoetarako erabiltzeko arriskua dagoela uste badu. eta zerbitzuan GitHub laguntzak kexak jaso ditu erasoetarako erabiltzen ari den kodeari buruz.
Iturria: opennet.ru