GitHub hat beliedsferoarings publisearre dy't belied sketst oangeande it pleatsen fan eksploaten en malwareûndersyk, lykas ek neilibjen fan 'e US Digital Millennium Copyright Act (DMCA). De wizigingen binne noch yn konseptstatus, beskikber foar diskusje binnen 30 dagen.
Neist it earder oanwêzige ferbod op it fersprieden en garandearjen fan de ynstallaasje of levering fan aktive malware en eksploaten, binne de folgjende betingsten tafoege oan 'e DMCA-konformiteitsregels:
- Eksplisyt ferbod op it pleatsen fan technologyen yn 'e repository foar it omgean fan technyske middels fan auteursrjochtbeskerming, ynklusyf lisinsjekaaien, lykas programma's foar it generearjen fan kaaien, it omgean fan kaaiferifikaasje en it ferlingjen fan de frije wurkperioade.
- Der wurdt in proseduere ynfierd foar it yntsjinjen fan in oanfraach om sa'n koade te ferwiderjen. De oanfreger foar wiskjen is ferplichte technyske details te leverjen, mei in ferklearre bedoeling om de oanfraach foar ûndersyk yn te tsjinjen foarôfgeand oan blokkearjen.
- As it repository is blokkearre, beloofje se de mooglikheid te leverjen om problemen en PR's te eksportearjen, en juridyske tsjinsten oan te bieden.
De wizigingen oan 'e eksploaten en malware-regels adressearje krityk dy't kaam nei't Microsoft in prototype fan Microsoft Exchange-eksploit fuorthelle dat brûkt waard om oanfallen te lansearjen. De nije regels besykje de gefaarlike ynhâld dy't brûkt wurdt foar aktive oanfallen eksplisyt te skieden fan koade dy't feiligensûndersyk stipet. Feroarings makke:
- It is ferbean net allinich om GitHub-brûkers oan te fallen troch ynhâld te pleatsen mei eksploaten derop of GitHub te brûken as in middel om eksploaten te leverjen, lykas earder it gefal wie, mar ek om kweade koade en eksploaten te pleatsen dy't aktive oanfallen begeliede. Yn 't algemien is it net ferbean om foarbylden te pleatsen fan eksploaten dy't taret binne tidens befeiligingsûndersyk en beynfloedzjen fan kwetsberens dy't al repareare binne, mar alles sil ôfhingje fan hoe't de term "aktive oanfallen" wurdt ynterpretearre.
Bygelyks, it publisearjen fan JavaScript-koade yn elke foarm fan boarnetekst dy't in browser oanfalt, falt ûnder dit kritearium - neat hinderet de oanfaller om de boarnekoade yn te laden yn 'e browser fan it slachtoffer mei help fan fetch, it automatysk patchjen as it eksploitaasjeprototype wurdt publisearre yn in net te wurkjen foarm , en it útfieren. Lykas mei alle oare koade, bygelyks yn C ++ - neat foarkomt dat jo it kompilearje op 'e oanfallen masine en it útfiere. As in repository mei ferlykbere koade wurdt ûntdutsen, is it pland om it net te wiskjen, mar om tagong ta it te blokkearjen.
- De seksje dy't "spam", bedrog, dielname oan 'e cheatmerk ferbiedt, programma's foar it skeinen fan 'e regels fan alle siden, phishing en har besykjen is heger yn 'e tekst ferpleatst.
- Der is in alinea tafoege dy't de mooglikheid útlizze om in beswier yn te tsjinjen yn gefal fan it net iens mei it blokkearjen.
- In eask is tafoege foar eigners fan repositories dy't potinsjeel gefaarlike ynhâld host as ûnderdiel fan befeiligingsûndersyk. De oanwêzigens fan sa'n ynhâld moat eksplisyt neamd wurde oan it begjin fan 'e README.md-bestân, en kontaktynformaasje moat wurde levere yn' e SECURITY.md-bestân. It wurdt steld dat GitHub yn 't algemien gjin eksploaten fuortsmiten publisearre tegearre mei befeiligingsûndersyk foar al iepenbiere kwetsberens (net 0-dei), mar behâldt de kâns om tagong te beheinen as it fan betinken is dat d'r in risiko bliuwt dat dizze eksploaten brûkt wurde foar echte oanfallen en yn 'e tsjinst GitHub stipe hat krigen klachten oer de koade wurdt brûkt foar oanfallen.
Boarne: opennet.ru