GitHub telah menerbitkan perubahan kebijakan yang menguraikan kebijakan terkait postingan penelitian eksploitasi dan malware, serta kepatuhan terhadap Digital Millennium Copyright Act (DMCA) AS. Perubahan tersebut masih dalam status draf dan dapat didiskusikan dalam waktu 30 hari.
Selain larangan yang sebelumnya ada dalam mendistribusikan dan memastikan instalasi atau pengiriman malware dan eksploitasi aktif, ketentuan berikut telah ditambahkan ke aturan kepatuhan DMCA:
- Larangan eksplisit untuk menempatkan teknologi dalam repositori untuk melewati sarana teknis perlindungan hak cipta, termasuk kunci lisensi, serta program untuk menghasilkan kunci, melewati verifikasi kunci, dan memperpanjang masa kerja bebas.
- Prosedur untuk mengajukan permohonan untuk menghapus kode tersebut sedang diperkenalkan. Pemohon penghapusan wajib memberikan rincian teknis, dengan menyatakan niat untuk mengajukan permohonan pemeriksaan sebelum pemblokiran.
- Ketika repositori diblokir, mereka berjanji untuk memberikan kemampuan untuk mengekspor isu dan PR, dan menawarkan layanan hukum.
Perubahan pada aturan eksploitasi dan malware menjawab kritik yang muncul setelah Microsoft menghapus prototipe eksploitasi Microsoft Exchange yang digunakan untuk melancarkan serangan. Aturan baru ini berupaya untuk secara eksplisit memisahkan konten berbahaya yang digunakan untuk serangan aktif dari kode yang mendukung penelitian keamanan. Perubahan yang dilakukan:
- Dilarang tidak hanya menyerang pengguna GitHub dengan memposting konten yang mengandung eksploitasi atau menggunakan GitHub sebagai sarana untuk mengirimkan eksploitasi, seperti yang terjadi sebelumnya, tetapi juga memposting kode berbahaya dan eksploitasi yang menyertai serangan aktif. Secara umum, tidak dilarang untuk memposting contoh eksploitasi yang disiapkan selama penelitian keamanan dan mempengaruhi kerentanan yang telah diperbaiki, namun semuanya akan tergantung pada bagaimana istilah βserangan aktifβ ditafsirkan.
Misalnya, menerbitkan kode JavaScript dalam bentuk teks sumber apa pun yang menyerang browser termasuk dalam kriteria ini - tidak ada yang mencegah penyerang mengunduh kode sumber ke browser korban menggunakan pengambilan, secara otomatis menambalnya jika prototipe eksploitasi dipublikasikan dalam bentuk yang tidak dapat dioperasikan. , dan menjalankannya. Demikian pula dengan kode lainnya, misalnya di C++ - tidak ada yang menghalangi Anda untuk mengkompilasinya di mesin yang diserang dan mengeksekusinya. Jika repositori dengan kode serupa ditemukan, direncanakan untuk tidak menghapusnya, tetapi memblokir akses ke sana.
- Bagian yang melarang βspamβ, kecurangan, partisipasi dalam pasar kecurangan, program yang melanggar aturan situs mana pun, phishing dan upayanya telah dipindahkan lebih tinggi dalam teks.
- Sebuah paragraf telah ditambahkan menjelaskan kemungkinan mengajukan banding jika terjadi ketidaksepakatan dengan pemblokiran.
- Persyaratan telah ditambahkan untuk pemilik repositori yang menghosting konten yang berpotensi berbahaya sebagai bagian dari penelitian keamanan. Kehadiran konten tersebut harus disebutkan secara eksplisit di awal file README.md, dan informasi kontak harus diberikan dalam file SECURITY.md. Dinyatakan bahwa secara umum GitHub tidak menghapus eksploitasi yang dipublikasikan bersama dengan penelitian keamanan untuk kerentanan yang sudah diungkapkan (bukan 0-hari), namun mempunyai peluang untuk membatasi akses jika menganggap masih ada risiko eksploitasi ini digunakan untuk serangan nyata. dan dalam layanan dukungan GitHub telah menerima keluhan tentang kode yang digunakan untuk serangan.
Sumber: opennet.ru