GitHub te pibliye chanjman politik ki dekri règleman konsènan afiche eksplwa ak rechèch malveyan, ansanm ak konfòmite ak US Digital Millennium Copyright Act (DMCA). Chanjman yo toujou nan estati bouyon, disponib pou diskisyon nan 30 jou.
Anplis de entèdiksyon ki te deja prezan sou distribye ak asire enstalasyon oswa livrezon malveyan aktif ak eksplwatasyon, kondisyon sa yo te ajoute nan règ konfòmite DMCA yo:
- Entèdiksyon eksplisit pou mete nan depo teknoloji yo pou kontoune mwayen teknik pwoteksyon copyright, ki gen ladan kle lisans, osi byen ke pwogram pou jenere kle, kontoune verifikasyon kle ak pwolonje peryòd gratis nan travay.
- Yo prezante yon pwosedi pou depoze yon aplikasyon pou retire yon kòd konsa. Aplikan pou efase a oblije bay detay teknik, ak yon entansyon deklare soumèt aplikasyon an pou egzamen anvan bloke.
- Lè depo a bloke, yo pwomèt yo bay kapasite nan ekspòte pwoblèm ak PR, epi yo ofri sèvis legal.
Chanjman yo nan èksplwatasyon yo ak règleman malveyan adrese kritik ki te vini apre Microsoft te retire yon pwototip Microsoft Exchange eksplwate itilize pou lanse atak. Nouvo règ yo eseye separe klèman kontni danjere yo itilize pou atak aktif ak kòd ki sipòte rechèch sekirite. Chanjman ki fèt:
- Li entèdi non sèlman pou atake itilizatè GitHub lè yo poste kontni ki gen exploit sou li oswa pou itilize GitHub kòm yon mwayen pou fè eksplwatasyon, jan sa te fèt anvan, men tou pou poste kòd move ak exploit ki akonpaye atak aktif yo. An jeneral, li pa entèdi pou afiche egzanp eksplwatasyon prepare pandan rechèch sekirite ak ki afekte frajilite ki te deja fiks, men tout bagay pral depann de ki jan tèm "atak aktif" yo entèprete.
Pa egzanp, pibliye kòd JavaScript nan nenpòt fòm tèks sous ki atake yon navigatè tonbe anba kritè sa a - pa gen anyen ki anpeche atakè a chaje kòd sous la nan navigatè viktim nan lè l sèvi avèk chache, otomatikman patching li si pwototip eksplwatasyon an pibliye nan yon fòm ki pa fonksyone. , ak egzekite li. Menm jan an tou ak nenpòt lòt kòd, pou egzanp nan C++ - pa gen anyen anpeche ou konpile li sou machin nan atake ak egzekite li. Si yo dekouvri yon depo ki gen kòd ki sanble, li planifye pou pa efase li, men pou bloke aksè a li.
- Seksyon ki entèdi "Spam", kopye, patisipasyon nan mache a triche, pwogram pou vyole règ yo nan nenpòt sit, èskrokri ak tantativ li yo te deplase pi wo nan tèks la.
- Yo te ajoute yon paragraf ki eksplike posiblite pou depoze yon kontestasyon an ka ta gen dezakò ak bloke a.
- Yo te ajoute yon egzijans pou pwopriyetè depo ki òganize kontni ki kapab danjere kòm yon pati nan rechèch sekirite. Prezans nan kontni sa yo dwe mansyone klèman nan kòmansman an nan dosye README.md, epi yo dwe bay enfòmasyon kontak nan dosye SECURITY.md. Yo deklare ke an jeneral GitHub pa retire èksplwatasyon pibliye ansanm ak rechèch sekirite pou frajilite deja divilge (pa 0-jou), men rezève opòtinite pou mete restriksyon sou aksè si li konsidere ke gen rete yon risk pou eksplwatasyon sa yo yo te itilize pou atak reyèl. ak nan sèvis la sipò GitHub te resevwa plent sou kòd la yo te itilize pou atak.
Sous: opennet.ru