GitHub تغییرات خطمشی را منتشر کرده است که خط مشیهای مربوط به ارسال سوءاستفادهها و تحقیقات بدافزار و همچنین مطابقت با قانون حق نسخهبرداری هزاره دیجیتال ایالات متحده (DMCA) را مشخص میکند. تغییرات هنوز در وضعیت پیشنویس هستند و ظرف 30 روز برای بحث در دسترس هستند.
علاوه بر ممنوعیت قبلی برای توزیع و اطمینان از نصب یا تحویل بدافزار و سوء استفادههای فعال، شرایط زیر به قوانین انطباق با DMCA اضافه شده است:
- ممنوعیت صریح قرار دادن فنآوریهای مخزن برای دور زدن ابزارهای فنی حفاظت از حق چاپ، از جمله کلیدهای مجوز، و همچنین برنامههای تولید کلید، دور زدن تأیید کلید و تمدید دوره رایگان کار.
- روشی برای ثبت درخواست برای حذف چنین کدی در حال معرفی است. متقاضی حذف ملزم به ارائه مشخصات فنی با قصد اعلام شده برای ارائه درخواست برای بررسی قبل از مسدود شدن است.
- هنگامی که مخزن مسدود می شود، آنها قول می دهند که توانایی صادرات مسائل و روابط عمومی را فراهم کنند و خدمات حقوقی ارائه دهند.
تغییرات در قوانین سوء استفادهها و بدافزارها انتقاداتی را که پس از حذف نمونه اولیه مایکروسافت اکسچنج که برای انجام حملات استفاده میشد، مطرح کرد. قوانین جدید سعی میکنند محتوای خطرناک مورد استفاده برای حملات فعال را از کدی که از تحقیقات امنیتی پشتیبانی میکند، بهصراحت جدا کند. تغییرات ایجاد شده:
- نه تنها حمله به کاربران GitHub با ارسال محتوای دارای سوء استفاده در آن یا استفاده از GitHub به عنوان وسیله ای برای ارائه سوء استفاده، همانطور که قبلاً بود، ممنوع است، بلکه همچنین برای ارسال کدهای مخرب و سوء استفاده های همراه با حملات فعال ممنوع است. به طور کلی، ارسال نمونه هایی از سوء استفاده های آماده شده در طول تحقیقات امنیتی و آسیب پذیری هایی که قبلاً رفع شده اند ممنوع نیست، اما همه چیز به نحوه تفسیر اصطلاح "حملات فعال" بستگی دارد.
برای مثال، انتشار کد جاوا اسکریپت در هر شکلی از متن منبع که به یک مرورگر حمله میکند، تحت این معیار قرار میگیرد - هیچ چیز مانع از دانلود کد منبع در مرورگر قربانی با استفاده از fetch نمیشود، و اگر نمونه اولیه سوءاستفاده به شکل غیرقابل اجرا منتشر شود، بهطور خودکار آن را وصله میکند. ، و اجرای آن. به طور مشابه با هر کد دیگری، به عنوان مثال در C++ - هیچ چیز مانع از کامپایل آن در ماشین مورد حمله و اجرای آن نمی شود. اگر یک مخزن با کد مشابه کشف شود، برنامه ریزی شده است که آن را حذف نکنید، بلکه دسترسی به آن را مسدود کنید.
- بخش ممنوعیت "هرزنامه"، تقلب، مشارکت در بازار تقلب، برنامه های نقض قوانین هر سایت، فیشینگ و تلاش های آن در متن بالاتر منتقل شده است.
- یک بند اضافه شده است که امکان درخواست تجدید نظر در صورت عدم موافقت با مسدود شدن را توضیح می دهد.
- یک الزام برای صاحبان مخازن که محتوای بالقوه خطرناک را میزبانی می کنند به عنوان بخشی از تحقیقات امنیتی اضافه شده است. وجود چنین محتوایی باید به صراحت در ابتدای فایل README.md ذکر شود و اطلاعات تماس باید در فایل SECURITY.md درج شود. بیان شده است که GitHub به طور کلی اکسپلویت های منتشر شده همراه با تحقیقات امنیتی را برای آسیب پذیری های قبلاً فاش شده (نه 0 روزه) حذف نمی کند، اما اگر فکر کند که خطر استفاده از این اکسپلویت ها برای حملات واقعی وجود دارد، این فرصت را برای محدود کردن دسترسی محفوظ می دارد. و در سرویس پشتیبانی GitHub شکایت هایی در مورد کدهایی که برای حملات استفاده می شود دریافت کرده است.
منبع: opennet.ru