GitHub publicou cambios nas políticas que describen políticas relativas á publicación de exploits e investigación de malware, así como ao cumprimento da Digital Millennium Copyright Act (DMCA) dos Estados Unidos. Os cambios aínda están en estado de borrador, dispoñibles para debate nun prazo de 30 días.
Ademais da prohibición existente anteriormente de distribuír e garantir a instalación ou entrega de malware e exploits activos, engadíronse os seguintes termos ás regras de cumprimento da DMCA:
- Prohibición explícita de colocar no repositorio tecnoloxías para eludir medios técnicos de protección dos dereitos de autor, incluídas as claves de licenza, así como programas para xerar claves, omitir a verificación de claves e ampliar o período libre de traballo.
- Estase a introducir un procedemento para presentar unha solicitude para eliminar tal código. O solicitante da eliminación debe proporcionar os datos técnicos, coa intención declarada de presentar a solicitude para o seu exame antes do bloqueo.
- Cando o repositorio está bloqueado, prometen proporcionar a posibilidade de exportar problemas e PR e ofrecer servizos legais.
Os cambios nos exploits e as regras de malware abordan as críticas que se produciron despois de que Microsoft eliminase un prototipo de exploit de Microsoft Exchange utilizado para lanzar ataques. As novas regras tentan separar explícitamente o contido perigoso usado para ataques activos do código que admite a investigación de seguridade. Cambios realizados:
- Prohíbese non só atacar aos usuarios de GitHub publicando contido con exploits nel ou usar GitHub como medio para entregar exploits, como era o caso antes, senón tamén publicar códigos maliciosos e exploits que acompañan aos ataques activos. En xeral, non está prohibido publicar exemplos de exploits preparados durante a investigación de seguridade e que afecten a vulnerabilidades que xa foron corrixidas, pero todo dependerá de como se interprete o termo "ataques activos".
Por exemplo, a publicación de código JavaScript en calquera forma de texto fonte que ataque un navegador cae baixo este criterio; nada impide que o atacante descargue o código fonte no navegador da vítima mediante Fetch, parcheándoo automaticamente se o prototipo de exploit se publica nunha forma inoperable. , e executándoo. Do mesmo xeito que con calquera outro código, por exemplo en C++, nada impide compilalo na máquina atacada e executalo. Se se descobre un repositorio con código similar, prevese non borralo, senón bloquear o acceso a el.
- A sección que prohibe "spam", trampas, participación no mercado de trampas, programas para violar as regras de calquera sitio, phishing e os seus intentos moveuse máis arriba no texto.
- Engadiuse un parágrafo no que se explica a posibilidade de interpoñer un recurso en caso de desacordo co bloqueo.
- Engadiuse un requisito para os propietarios de repositorios que aloxan contido potencialmente perigoso como parte da investigación de seguridade. A presenza deste contido debe mencionarse expresamente ao comezo do ficheiro README.md, e a información de contacto debe ser proporcionada no ficheiro SECURITY.md. Indícase que, en xeral, GitHub non elimina os exploits publicados xunto coa investigación de seguridade para vulnerabilidades xa reveladas (non de 0 días), pero resérvase a oportunidade de restrinxir o acceso se considera que existe o risco de que estes exploits se utilicen para ataques reais. e no servizo o soporte de GitHub recibiu queixas sobre o código que se utiliza para ataques.
Fonte: opennet.ru