GitHub on julkaissut käytäntömuutoksia, jotka määrittelevät käytännöt, jotka koskevat hyväksikäyttö- ja haittaohjelmien julkaisemista sekä Yhdysvaltain DMCA-lain (Digital Millennium Copyright Act) noudattamista. Muutokset ovat edelleen luonnostilassa, ja niistä voidaan keskustella 30 päivän kuluessa.
Aiemmin voimassa olevan kiellon levittää ja varmistaa aktiivisten haittaohjelmien ja hyväksikäyttöjen asentaminen tai toimittaminen, DMCA-yhteensopivuussääntöihin on lisätty seuraavat ehdot:
- Nimenomainen kielto sijoittaa tietovarastoon teknologioita, jotka ohittavat tekijänoikeussuojan tekniset keinot, mukaan lukien lisenssiavaimet, sekä ohjelmia avainten luomiseksi, avainten tarkistamisen ohittamiseksi ja ilmaisen työajan pidentämiseksi.
- Otetaan käyttöön menettely tällaisen koodin poistamista koskevan hakemuksen jättämiseksi. Poiston hakijan on toimitettava tekniset tiedot ja aikomus lähettää hakemus tutkittavaksi ennen lukitusta.
- Kun arkisto on estetty, he lupaavat tarjota mahdollisuuden viedä asioita ja PR:itä sekä tarjota juridisia palveluita.
Hyökkäyksiin ja haittaohjelmasääntöihin tehdyt muutokset käsittelevät kritiikkiä, joka tuli sen jälkeen, kun Microsoft poisti hyökkäysten käynnistämiseen käytetyn Microsoft Exchangen prototyypin. Uusilla säännöillä pyritään erottamaan aktiivisiin hyökkäyksiin käytettävä vaarallinen sisältö tietoturvatutkimusta tukevasta koodista. Tehdyt muutokset:
- On kiellettyä hyökätä GitHub-käyttäjiä vastaan julkaisemalla hyväksikäyttöä sisältävää sisältöä tai käyttää GitHubia hyväksikäyttövälineenä, kuten aiemmin, vaan myös lähettää haitallista koodia ja aktiivisiin hyökkäyksiin liittyviä hyväksikäyttöjä. Yleisesti ottaen ei ole kiellettyä julkaista esimerkkejä tietoturvatutkimuksen aikana valmistetuista ja jo korjattuihin haavoittuvuuksiin vaikuttavista hyväksikäytöistä, mutta kaikki riippuu siitä, miten termi "aktiiviset hyökkäykset" tulkitaan.
Esimerkiksi JavaScript-koodin julkaiseminen missä tahansa selainta vastaan hyökkäävässä lähdetekstimuodossa kuuluu tämän kriteerin piiriin – mikään ei estä hyökkääjää lataamasta lähdekoodia uhrin selaimeen hakutoiminnolla, korjaamalla sen automaattisesti, jos hyväksikäyttöprototyyppi julkaistaan käyttökelvottomassa muodossa. , ja sen toteuttaminen. Samoin minkä tahansa muun koodin kanssa, esimerkiksi C++:ssa - mikään ei estä sinua kääntämästä sitä hyökkäävälle koneelle ja suorittamasta sitä. Jos arkisto, jolla on samanlainen koodi, löydetään, sitä ei suunniteta poistamaan, vaan estämään pääsy siihen.
- Osio, joka kieltää "roskapostin", huijaamisen, huijausmarkkinoille osallistumisen, minkä tahansa sivuston sääntöjen rikkomiseen liittyvät ohjelmat, tietojenkalastelut ja sen yritykset on siirretty tekstissä korkeammalle.
- Lisätty kappale, jossa selitetään mahdollisuus tehdä valitus, jos estosta ollaan eri mieltä.
- Mahdollisesti vaarallista sisältöä isännöivien arkiston omistajille on lisätty vaatimus osana tietoturvatutkimusta. Tällaisen sisällön olemassaolo on mainittava erikseen README.md-tiedoston alussa, ja yhteystiedot on annettava SECURITY.md-tiedostossa. Todetaan, että GitHub ei yleensä poista tietoturvatutkimuksen yhteydessä julkaistuja hyväksikäyttöjä jo paljastetuista haavoittuvuuksista (ei 0 päivää), mutta varaa mahdollisuuden rajoittaa pääsyä, jos se katsoo, että on olemassa riski, että näitä hyväksikäyttöjä käytetään todellisiin hyökkäyksiin. ja palvelussa GitHub-tuki on saanut valituksia hyökkäyksiin käytetystä koodista.
Lähde: opennet.ru