GitHub は、エクスプロイトおよびマルウェア研究の投稿、および米国デジタル ミレニアム著作権法 (DMCA) への準拠に関するポリシーの概要を示すポリシー変更を公開しました。変更はまだ草案段階にあり、30 日以内に議論できるようになっています。
アクティブなマルウェアおよびエクスプロイトの配布およびインストールまたは配信の保証に関するこれまでの禁止に加え、次の条件が DMCA コンプライアンス ルールに追加されました。
- 著作権保護の技術的手段をバイパスするための技術(ライセンス キー、キーの生成、キー検証のバイパス、および無料作業期間の延長のためのプログラムなど)をリポジトリに置くことを明示的に禁止します。
- このようなコードを削除するための申請手続きが導入されています。削除申請者は、ブロックする前に審査のために申請書を提出する旨の宣言とともに、技術的な詳細を提供する必要があります。
- リポジトリがブロックされた場合、問題と PR をエクスポートする機能を提供し、法的サービスを提供することを約束します。
このエクスプロイトとマルウェアのルールに対する変更は、攻撃を開始するために使用されたプロトタイプの Microsoft Exchange エクスプロイトを Microsoft が削除した後に寄せられた批判に対処するものです。新しいルールは、アクティブな攻撃に使用される危険なコンテンツを、セキュリティ研究をサポートするコードから明示的に分離しようとします。加えられた変更:
- 以前のように、エクスプロイトを含むコンテンツを投稿して GitHub ユーザーを攻撃したり、エクスプロイトを配信する手段として GitHub を使用したりするだけでなく、悪意のあるコードや積極的な攻撃を伴うエクスプロイトを投稿することも禁止されています。一般に、セキュリティ調査中に作成され、すでに修正された脆弱性に影響を与えるエクスプロイトの例を投稿することは禁止されていませんが、すべては「積極的な攻撃」という用語がどのように解釈されるかによって異なります。
たとえば、ブラウザを攻撃するソース テキストの形式を問わず JavaScript コードを公開することは、この基準に該当します。攻撃者がフェッチを使用してソース コードを被害者のブラウザにダウンロードすることを妨げるものはありません。エクスプロイト プロトタイプが動作不能な形式で公開された場合、自動的にパッチを適用します。 、それを実行します。他のコード (C++ など) も同様に、攻撃されたマシン上でコードをコンパイルして実行することを妨げるものはありません。同様のコードを含むリポジトリが発見された場合は、削除せずにアクセスをブロックする予定です。
- 「スパム」、不正行為、不正行為市場への参加、サイトのルールに違反するプログラム、フィッシングおよびその試みを禁止するセクションが本文の上位に移動されました。
- ブロックに同意できない場合に異議を申し立てる可能性について説明する段落が追加されました。
- セキュリティ研究の一環として、潜在的に危険なコンテンツをホストするリポジトリの所有者に対する要件が追加されました。このようなコンテンツの存在は、README.md ファイルの冒頭で明示的に言及する必要があり、連絡先情報は SECURITY.md ファイルに提供する必要があります。一般に、GitHub は、既に公開されている脆弱性 (ゼロデイではない) のセキュリティ調査とともに公開されたエクスプロイトを削除しないが、これらのエクスプロイトが実際の攻撃に使用されるリスクが残っていると判断した場合、アクセスを制限する機会を留保すると述べられています。また、このサービスでは、攻撃に使用されているコードに関する苦情が GitHub サポートに寄せられています。
出所: オープンネット.ru