A GitHub olyan irányelvmódosításokat tett közzé, amelyek felvázolják a kihasználások közzétételére és a rosszindulatú programok kutatására vonatkozó irányelveket, valamint az Egyesült Államok Digital Millennium Copyright Act (DMCA) törvényének való megfelelést. A változtatások még tervezet státuszban vannak, 30 napon belül megvitathatók.
Az aktív rosszindulatú programok és kihasználások terjesztésének és telepítésének vagy kézbesítésének korábban érvényben lévő tilalma mellett a következő feltételekkel egészült ki a DMCA megfelelőségi szabálya:
- A szerzői jogi védelem technikai eszközeit megkerülő technológiák, köztük a licenckulcsok, valamint a kulcsok generálására, a kulcsellenőrzés megkerülésére és a szabad munkaidő meghosszabbítására szolgáló programok lerakatba helyezésének kifejezett tilalma.
- Bevezetik az ilyen kód eltávolítására irányuló kérelem benyújtásának eljárását. A törlést kérelmező köteles technikai adatokat megadni, azzal a szándékkal, hogy a kérelmet a zárolás előtti vizsgálatra benyújtja.
- Ha az adattárat letiltják, ígéretet tesznek a kérdések és PR-ek exportálására, valamint jogi szolgáltatások nyújtására.
A kizsákmányolások és a rosszindulatú programokra vonatkozó szabályok módosításai megválaszolják azokat a kritikákat, amelyek azután érkeztek, hogy a Microsoft eltávolította a támadások indítására használt Microsoft Exchange exploit prototípusát. Az új szabályok megpróbálják kifejezetten elkülöníteni az aktív támadásokhoz használt veszélyes tartalmat a biztonsági kutatást támogató kódtól. Végrehajtott változtatások:
- Tilos nemcsak a GitHub-felhasználók megtámadása exploitokat tartalmazó tartalom közzétételével, vagy a GitHub kihasználása exploitások célba juttatásának eszközeként, mint korábban, hanem rosszindulatú kódok és az aktív támadásokat kísérő kihasználások közzététele is. Általánosságban elmondható, hogy nem tilos példákat közzétenni a biztonsági kutatások során készített, már kijavított sebezhetőségeket érintő exploitokra, de minden attól függ, hogyan értelmezzük az „aktív támadások” kifejezést.
Például a JavaScript-kód közzététele a böngészőt támadó forrásszöveg bármely formájában nem felel meg ennek a feltételnek – semmi sem akadályozza meg a támadót abban, hogy a fetch segítségével letöltse a forráskódot az áldozat böngészőjébe, és automatikusan javítsa azt, ha a kihasználás prototípusát működésképtelen formában teszik közzé. , és végrehajtja azt. Hasonlóan minden más kódhoz, például a C++-ban - semmi sem akadályozza meg, hogy a megtámadott gépen lefordítsa és végrehajtsa. Ha hasonló kódú tárolót fedeznek fel, a tervek szerint nem törlik, hanem blokkolják a hozzáférést.
- Feljebb került a szövegben a „spam”, a csalás, a csalási piacon való részvétel, az oldalak szabálysértő programjai, az adathalászat és annak kísérletei tiltó szakasz.
- Egy bekezdéssel egészült ki, amely ismerteti a fellebbezés lehetőségét abban az esetben, ha nem ért egyet a letiltással.
- Követelményt adtunk a biztonsági kutatás részeként potenciálisan veszélyes tartalmat tároló adattárak tulajdonosai számára. Az ilyen tartalom jelenlétét kifejezetten meg kell említeni a README.md fájl elején, és a kapcsolatfelvételi adatokat meg kell adni a SECURITY.md fájlban. Általánosságban elmondható, hogy a GitHub általában nem távolítja el a biztonsági kutatással együtt közzétett kihasználásokat a már nyilvánosságra hozott sebezhetőségekre (nem 0 napra), de fenntartja a lehetőséget a hozzáférés korlátozására, ha úgy ítéli meg, hogy továbbra is fennáll annak a veszélye, hogy ezeket a kihasználásokat valódi támadásokhoz használják fel. és a szolgáltatásban a GitHub támogatásához panaszok érkeztek a támadásokhoz használt kóddal kapcsolatban.
Forrás: opennet.ru