A GitHub közzétette a biztonsági rések kihasználására és a rosszindulatú programok kutatására vonatkozó szabályainak módosításait, valamint az Egyesült Államok digitális évezredi szerzői jogi törvényének (DMCA) való megfelelést. A változtatások jelenleg tervezet formájában vannak, és 30 napig lehet velük véleményezni.
Az aktív rosszindulatú programok és azok exploitjainak terjesztésére, telepítésére vagy kézbesítésére vonatkozó korábbi tilalom mellett a következő rendelkezéseket egészítették ki a DMCA megfelelőségi szabályai:
- Kifejezett tilalom a szerzői jogi védelmi intézkedések megkerülésére szolgáló technológiák, beleértve a licenckulcsokat, valamint a kulcsok generálására, a kulcsellenőrzés megkerülésére és az ingyenes próbaidőszak meghosszabbítására szolgáló programok tárolására.
- Bevezetésre kerül egy eljárás az ilyen kód eltávolítására irányuló kérelem benyújtására. A kérelmezőknek technikai részleteket kell megadniuk, azzal a kinyilvánított szándékkal, hogy a blokkolás előtt benyújtják a kérelmet felülvizsgálatra.
- Ha a tárház blokkolva van, ígéretet tesznek a problémák és PR-anyagok exportálására, valamint jogi szolgáltatások nyújtására.
A kártevő-exploitokra és támadásokra vonatkozó irányelvek módosításai a Microsoft által eltávolított, támadásokhoz használt Microsoft Exchange-exploit prototípus eltávolítását követően felmerült kritikákat célozzák meg. Az új irányelvek célja, hogy egyértelműen elkülönítsék az aktív támadásokhoz használt veszélyes tartalmakat a biztonsági kutatásokat támogató kódtól. A változások a következők:
- Nemcsak a GitHub felhasználóinak támadása tilos exploit-alapú tartalom közzétételével vagy a GitHub használata exploit-ok közvetítésére, ahogy az korábban is történt, hanem a rosszindulatú kódok és az aktív támadásokat kísérő exploit-ok közzététele is. Általánosságban elmondható, hogy a biztonsági kutatások során kifejlesztett és a már javított sebezhetőségeket célzó exploit-példák közzététele nem tilos, de ez attól függ, hogyan értelmezzük az „aktív támadások” kifejezést.
Például bármilyen böngészőt támadó JavaScript forráskód közzététele ebbe a kritériumba tartozik – a támadó letöltheti a forráskódot az áldozat böngészőjébe a fetch segítségével, automatikusan javíthatja azt, ha a sérülékenységet kihasználó prototípus működésképtelen formában jelenik meg, és végrehajthatja azt. Hasonlóképpen, bármely más kód, például a C++ esetében semmi sem akadályozza meg őket abban, hogy lefordítsák a célgépen és végrehajtsák. Ha felfedeznek egy ilyen kódot tartalmazó tárházat, az nem törlődik, de a hozzáférés blokkolva lesz.
- A spam küldését, a csalást, a csalópiacon való részvételt, a webhelyek szabályainak megsértésére irányuló programokat, az adathalászatot és az erre irányuló kísérleteket tiltó szakasz feljebb került a szövegben.
- Kiegészült egy záradékkal, amely ismerteti a fellebbezés lehetőségét a blokkolással való egyet nem értés esetén.
- Egy követelmény került hozzáadásra azon adattár-tulajdonosok számára, akik biztonsági kutatás részeként potenciálisan veszélyes tartalmat tárolnak. Az ilyen tartalom jelenlétét egyértelműen meg kell említeni a README.md fájl elején, és az elérhetőségi adatokat meg kell adni a SECURITY.md fájlban. Általánosságban elmondható, hogy a GitHub nem távolítja el a már nyilvánosságra hozott (nem nulladik napi) sebezhetőségekre vonatkozó biztonsági kutatással együtt közzétett exploitokat, de fenntartja a jogot a hozzáférés korlátozására, ha úgy ítéli meg, hogy továbbra is fennáll annak a kockázata, hogy ezeket az exploitokat valós támadásokban használják, és a GitHub támogatása panaszokat kap a támadásokban használt kóddal kapcsolatban.
Forrás: opennet.ru
