GitHub hefur birt stefnubreytingar sem lýsa stefnum varðandi birtingu á hetjudáðum og rannsóknum á spilliforritum, svo og samræmi við bandaríska stafræna árþúsundahöfundalögin (DMCA). Breytingarnar eru enn í drögum, til umræðu innan 30 daga.
Til viðbótar við áður núverandi bann við að dreifa og tryggja uppsetningu eða afhendingu virks spilliforrits og hetjudáða, hefur eftirfarandi skilmálum verið bætt við DMCA samræmisreglur:
- Skýrt bann við því að setja í geymsluna tækni til að komast framhjá tæknilegum aðferðum til höfundarréttarverndar, þar á meðal leyfislykla, sem og forrit til að búa til lykla, framhjá lyklastaðfestingu og lengja ókeypis vinnutímann.
- Verið er að innleiða málsmeðferð við að leggja fram umsókn um að fjarlægja slíkan kóða. Umsækjandi um eyðingu þarf að gefa upp tæknilegar upplýsingar, með yfirlýstan ásetningi um að leggja umsóknina fram til skoðunar áður en lokun er gerð.
- Þegar geymslunni er lokað lofa þeir að veita getu til að flytja út málefni og PR og bjóða upp á lögfræðiþjónustu.
Breytingarnar á hetjudáðunum og reglum um spilliforrit taka á gagnrýni sem kom eftir að Microsoft fjarlægði frumgerð Microsoft Exchange hetjudáðs sem notuð var til að hefja árásir. Nýju reglurnar reyna að aðgreina hættulegt efni sem notað er fyrir virkar árásir frá kóða sem styður öryggisrannsóknir. Breytingar gerðar:
- Það er ekki aðeins bannað að ráðast á GitHub notendur með því að birta efni með hetjudáð á því eða að nota GitHub sem leið til að afhenda hetjudáð, eins og áður var, heldur einnig að senda inn illgjarn kóða og hetjudáð sem fylgja virkum árásum. Almennt séð er ekki bannað að birta dæmi um hetjudáð sem unnin var við öryggisrannsóknir og hafa áhrif á veikleika sem þegar hafa verið lagaðir, en allt fer eftir því hvernig hugtakið „virkar árásir“ er túlkað.
Til dæmis, að birta JavaScript kóða í hvers kyns frumtexta sem ræðst á vafra fellur undir þessa viðmiðun - ekkert kemur í veg fyrir að árásarmaðurinn hali frumkóðann niður í vafra fórnarlambsins með því að nota niðurhal, plástra hann sjálfkrafa ef misnotkunarfrumgerðin er birt á óvirku formi , og framkvæma það. Svipað og með hvaða kóða sem er, til dæmis í C++ - ekkert kemur í veg fyrir að þú setjir hann saman á vélinni sem ráðist var á og keyrir hann. Ef geymsla með svipaðan kóða uppgötvast er áætlað að eyða henni ekki heldur loka fyrir aðgang að henni.
- Hlutinn sem bannar „ruslpóst“, svindl, þátttöku á svindlamarkaði, forrit til að brjóta reglur hvers kyns vefsvæða, vefveiðar og tilraunir þeirra hefur verið færður ofar í textanum.
- Bætt hefur verið við málsgrein sem útskýrir möguleika á áfrýjun ef ágreiningur er um lokunina.
- Kröfu hefur verið bætt við fyrir eigendur geymslu sem hýsa hugsanlega hættulegt efni sem hluti af öryggisrannsóknum. Tilvist slíks efnis verður að vera sérstaklega getið í upphafi README.md skráarinnar og tengiliðaupplýsingar verða að koma fram í SECURITY.md skránni. Tekið er fram að almennt fjarlægir GitHub ekki hetjudáð sem birt hefur verið samhliða öryggisrannsóknum fyrir þegar upplýst varnarleysi (ekki 0-dagur), en áskilur sér tækifæri til að takmarka aðgang ef það telur að enn sé hætta á að þessi hetjudáð verði notuð til raunverulegra árása og í þjónustunni GitHub stuðningur hefur borist kvartanir um að kóðinn sé notaður fyrir árásir.
Heimild: opennet.ru