ProHoster > وبلاگ > اخبار اینترنتی > GitHub قوانین مربوط به ارسال تحقیقات امنیتی را تشدید می کند

GitHub قوانین مربوط به ارسال تحقیقات امنیتی را تشدید می کند

GitHub تغییرات خط‌مشی را منتشر کرده است که خط مشی‌های مربوط به ارسال سوءاستفاده‌ها و تحقیقات بدافزار و همچنین مطابقت با قانون حق نسخه‌برداری هزاره دیجیتال ایالات متحده (DMCA) را مشخص می‌کند. تغییرات هنوز در وضعیت پیش‌نویس هستند و ظرف 30 روز برای بحث در دسترس هستند.

علاوه بر ممنوعیت قبلی برای توزیع و اطمینان از نصب یا تحویل بدافزار و سوء استفاده‌های فعال، شرایط زیر به قوانین انطباق با DMCA اضافه شده است:

  • ممنوعیت صریح قرار دادن فن‌آوری‌های مخزن برای دور زدن ابزارهای فنی حفاظت از حق چاپ، از جمله کلیدهای مجوز، و همچنین برنامه‌های تولید کلید، دور زدن تأیید کلید و تمدید دوره رایگان کار.
  • روشی برای ثبت درخواست برای حذف چنین کدی در حال معرفی است. متقاضی حذف ملزم به ارائه مشخصات فنی با قصد اعلام شده برای ارائه درخواست برای بررسی قبل از مسدود شدن است.
  • هنگامی که مخزن مسدود می شود، آنها قول می دهند که توانایی صادرات مسائل و روابط عمومی را فراهم کنند و خدمات حقوقی ارائه دهند.

تغییرات در قوانین سوء استفاده‌ها و بدافزارها انتقاداتی را که پس از حذف نمونه اولیه مایکروسافت اکسچنج که برای انجام حملات استفاده می‌شد، مطرح کرد. قوانین جدید سعی می‌کنند محتوای خطرناک مورد استفاده برای حملات فعال را از کدی که از تحقیقات امنیتی پشتیبانی می‌کند، به‌صراحت جدا کند. تغییرات ایجاد شده:

  • نه تنها حمله به کاربران GitHub با ارسال محتوای دارای سوء استفاده در آن یا استفاده از GitHub به عنوان وسیله ای برای ارائه سوء استفاده، همانطور که قبلاً بود، ممنوع است، بلکه همچنین برای ارسال کدهای مخرب و سوء استفاده های همراه با حملات فعال ممنوع است. به طور کلی، ارسال نمونه هایی از سوء استفاده های آماده شده در طول تحقیقات امنیتی و آسیب پذیری هایی که قبلاً رفع شده اند ممنوع نیست، اما همه چیز به نحوه تفسیر اصطلاح "حملات فعال" بستگی دارد.

    برای مثال، انتشار کد جاوا اسکریپت در هر شکلی از متن منبع که به یک مرورگر حمله می‌کند، تحت این معیار قرار می‌گیرد - هیچ چیز مانع از دانلود کد منبع در مرورگر قربانی با استفاده از fetch نمی‌شود، و اگر نمونه اولیه سوءاستفاده به شکل غیرقابل اجرا منتشر شود، به‌طور خودکار آن را وصله می‌کند. ، و اجرای آن. به طور مشابه با هر کد دیگری، به عنوان مثال در C++ - هیچ چیز مانع از کامپایل آن در ماشین مورد حمله و اجرای آن نمی شود. اگر یک مخزن با کد مشابه کشف شود، برنامه ریزی شده است که آن را حذف نکنید، بلکه دسترسی به آن را مسدود کنید.

  • بخش ممنوعیت "هرزنامه"، تقلب، مشارکت در بازار تقلب، برنامه های نقض قوانین هر سایت، فیشینگ و تلاش های آن در متن بالاتر منتقل شده است.
  • یک بند اضافه شده است که امکان درخواست تجدید نظر در صورت عدم موافقت با مسدود شدن را توضیح می دهد.
  • یک الزام برای صاحبان مخازن که محتوای بالقوه خطرناک را میزبانی می کنند به عنوان بخشی از تحقیقات امنیتی اضافه شده است. وجود چنین محتوایی باید به صراحت در ابتدای فایل README.md ذکر شود و اطلاعات تماس باید در فایل SECURITY.md درج شود. بیان شده است که GitHub به طور کلی اکسپلویت های منتشر شده همراه با تحقیقات امنیتی را برای آسیب پذیری های قبلاً فاش شده (نه 0 روزه) حذف نمی کند، اما اگر فکر کند که خطر استفاده از این اکسپلویت ها برای حملات واقعی وجود دارد، این فرصت را برای محدود کردن دسترسی محفوظ می دارد. و در سرویس پشتیبانی GitHub شکایت هایی در مورد کدهایی که برای حملات استفاده می شود دریافت کرده است.

منبع: opennet.ru

اضافه کردن نظر