GitHub wis nerbitake owah-owahan kabijakan sing njelasake kabijakan babagan postingan eksploitasi lan riset malware, uga selaras karo Undhang-undhang Hak Cipta Milenium Digital AS (DMCA). Owah-owahan isih ana ing status konsep, kasedhiya kanggo diskusi sajrone 30 dina.
Saliyane larangan nyebarake lan mesthekake instalasi utawa pangiriman malware aktif lan eksploitasi, istilah ing ngisor iki wis ditambahake ing aturan kepatuhan DMCA:
- Larangan eksplisit kanggo nyelehake ing teknologi repositori kanggo ngliwati sarana teknis perlindungan hak cipta, kalebu kunci lisensi, uga program kanggo ngasilake kunci, ngliwati verifikasi kunci lan ndawakake wektu kerja gratis.
- A prosedur kanggo ngajokake aplikasi kanggo mbusak kode kuwi lagi ngenalaken. Pemohon pambusakan kudu menehi rincian teknis, kanthi tujuan sing diumumake kanggo ngirim aplikasi kanggo ujian sadurunge diblokir.
- Nalika repositori diblokir, dheweke janji bakal menehi kemampuan kanggo ngekspor masalah lan PR, lan nawakake layanan hukum.
Owah-owahan ing eksploitasi lan aturan malware ngatasi kritik sing teka sawise Microsoft mbusak prototipe eksploitasi Microsoft Exchange sing digunakake kanggo miwiti serangan. Aturan anyar nyoba misahake konten mbebayani sing digunakake kanggo serangan aktif saka kode sing ndhukung riset keamanan. Owah-owahan sing ditindakake:
- Dilarang ora mung nyerang pangguna GitHub kanthi ngirim konten kanthi eksploitasi utawa nggunakake GitHub minangka sarana kanggo ngirim eksploitasi, kaya sing kedadeyan sadurunge, nanging uga ngirim kode lan eksploitasi jahat sing ngiringi serangan aktif. UmumΓ©, ora dilarang ngirim conto eksploitasi sing disiapake sajrone riset keamanan lan mengaruhi kerentanan sing wis didandani, nanging kabeh bakal gumantung carane istilah "serangan aktif" diinterpretasikake.
Contone, nerbitake kode JavaScript ing sembarang wangun teks sumber sing nyerang browser kalebu ing kritΓ©ria iki - ora ana sing ngalangi panyerang kanggo ngundhuh kode sumber menyang browser korban nggunakake fetch, kanthi otomatis nambal yen prototipe eksploitasi diterbitake ing wangun sing ora bisa digunakake. , lan nglakokakΓ©. Kajaba karo kode liyane, contone ing C ++ - ora ana sing ngalangi sampeyan ngumpulake ing mesin sing diserang lan nglakokake. Yen repositori kanthi kode sing padha ditemokake, direncanakake ora mbusak, nanging kanggo mblokir akses menyang.
- Bagean nglarang "spam", mbeling, partisipasi ing pasar mbeling, program kanggo nglanggar aturan situs, phishing lan upaya wis dipindhah luwih dhuwur ing teks.
- Paragraf wis ditambahake sing nerangake kemungkinan ngajokake banding yen ora setuju karo pamblokiran kasebut.
- Sawijining syarat wis ditambahake kanggo pamilik repositori sing ngemot konten sing bisa mbebayani minangka bagean saka riset keamanan. Anane konten kasebut kudu kasebut kanthi jelas ing wiwitan file README.md, lan informasi kontak kudu diwenehake ing file SECURITY.md. Disebutake manawa umume GitHub ora mbusak eksploitasi sing diterbitake bebarengan karo riset keamanan kanggo kerentanan sing wis dibeberke (ora 0 dina), nanging nduweni kesempatan kanggo mbatesi akses yen nganggep isih ana risiko eksploitasi kasebut digunakake kanggo serangan nyata. lan ing layanan dhukungan GitHub wis nampa keluhan babagan kode sing digunakake kanggo serangan.
Source: opennet.ru