GitHub-ը հրապարակել է քաղաքականության փոփոխություններ, որոնք ուրվագծում են շահագործումների և չարամիտ ծրագրերի հետազոտության հրապարակման քաղաքականությունը, ինչպես նաև համապատասխանությունը ԱՄՆ Թվային հազարամյակի հեղինակային իրավունքի մասին օրենքին (DMCA): Փոփոխությունները դեռևս նախագծային կարգավիճակում են, հասանելի են 30 օրվա ընթացքում քննարկման համար:
Ի լրումն ակտիվ չարամիտ ծրագրերի և շահագործումների տարածման և տեղադրման կամ առաքման նախկինում գործող արգելքի, DMCA-ի համապատասխանության կանոններին ավելացվել են հետևյալ պայմանները.
- Հեղինակային իրավունքի պաշտպանության տեխնիկական միջոցների, ներառյալ լիցենզիայի բանալիների, ինչպես նաև բանալիների ստեղծման, բանալիների ստուգումը շրջանցելու և աշխատանքի անվճար ժամկետի երկարաձգման համար նախատեսված ծրագրերի շրջանցման տեխնոլոգիաների շտեմարանում տեղաբաշխման հստակ արգելք:
- Ներդրվում է նման ծածկագիրը հանելու դիմում ներկայացնելու կարգ։ Ջնջման համար դիմողից պահանջվում է տրամադրել տեխնիկական մանրամասներ՝ մինչև արգելափակումը հայտը փորձաքննության ներկայացնելու հայտարարված մտադրությամբ:
- Երբ պահոցն արգելափակված է, նրանք խոստանում են ապահովել խնդիրների և PR-ների արտահանման հնարավորություն և առաջարկել իրավաբանական ծառայություններ։
Շահագործումների և չարամիտ ծրագրերի կանոնների փոփոխությունները վերաբերում են այն քննադատությանը, որը եղավ այն բանից հետո, երբ Microsoft-ը հեռացրեց Microsoft Exchange-ի նախատիպը, որն օգտագործվում էր հարձակումներ իրականացնելու համար: Նոր կանոնները փորձում են բացահայտորեն առանձնացնել վտանգավոր բովանդակությունը, որն օգտագործվում է ակտիվ հարձակումների համար, կոդից, որն աջակցում է անվտանգության հետազոտություններին: Կատարված փոփոխություններ.
- Արգելվում է ոչ միայն հարձակվել GitHub-ի օգտատերերի վրա՝ տեղադրելով բովանդակություն՝ դրա վրա շահագործումներով կամ օգտագործել GitHub-ը որպես շահագործում տրամադրելու միջոց, ինչպես դա եղել է նախկինում, այլ նաև տեղադրել վնասակար կոդ և ակտիվ հարձակումներին ուղեկցող շահագործումներ: Ընդհանուր առմամբ, արգելված չէ տեղադրել անվտանգության հետազոտության ընթացքում պատրաստված և արդեն իսկ շտկված խոցելիության վրա ազդող շահագործումների օրինակներ, բայց ամեն ինչ կախված կլինի նրանից, թե ինչպես է մեկնաբանվում «ակտիվ հարձակումներ» տերմինը:
Օրինակ, JavaScript կոդի հրապարակումը աղբյուրի տեքստի ցանկացած ձևով, որը հարձակվում է դիտարկիչի վրա, պատկանում է այս չափանիշին. ոչինչ չի խանգարում հարձակվողին բեռնել աղբյուրի կոդը զոհի բրաուզերում՝ օգտագործելով fetch-ը, ինքնաբերաբար կարկատելով այն, եթե շահագործման նախատիպը հրապարակվում է անգործունակ ձևով: , և այն իրականացնելը։ Նմանապես ցանկացած այլ կոդի դեպքում, օրինակ՝ C++-ում, ոչինչ չի խանգարում ձեզ այն կազմել հարձակման ենթարկված մեքենայի վրա և կատարել այն: Եթե նմանատիպ կոդով շտեմարան հայտնաբերվի, ապա նախատեսվում է ոչ թե ջնջել այն, այլ արգելափակել մուտքը։
- Տեքստում ավելի բարձր է տեղափոխվել «սպամ», խաբեություն, խաբեության շուկայի մասնակցություն, ցանկացած կայքի կանոնների խախտման ծրագրեր, ֆիշինգ և դրա փորձեր արգելող բաժինը։
- Ավելացվել է պարբերություն, որը բացատրում է արգելափակման հետ անհամաձայնության դեպքում բողոք ներկայացնելու հնարավորությունը։
- Պահանջ է ավելացվել պահեստների սեփականատերերի համար, որոնք հյուրընկալում են պոտենցիալ վտանգավոր բովանդակություն՝ որպես անվտանգության հետազոտության մաս: Նման բովանդակության առկայությունը պետք է հստակորեն նշվի README.md ֆայլի սկզբում, իսկ կոնտակտային տվյալները պետք է տրամադրվեն SECURITY.md ֆայլում: Նշվում է, որ ընդհանուր առմամբ, GitHub-ը չի հեռացնում արդեն բացահայտված խոցելիությունների համար անվտանգության հետազոտությունների հետ մեկտեղ հրապարակված շահագործումները (ոչ 0-օրյա), բայց հնարավորություն է վերապահում սահմանափակել մուտքը, եթե գտնում է, որ գոյություն ունի այդ շահագործումների իրական հարձակումների համար օգտագործելու վտանգը: և ծառայությունում GitHub աջակցությունը բողոքներ է ստացել հարձակումների համար օգտագործվող կոդի վերաբերյալ:
Source: opennet.ru