GitHub эксплуаттарды жариялау және зиянды бағдарламаларды зерттеу, сондай-ақ АҚШ-тың Сандық мыңжылдық авторлық құқық актісіне (DMCA) сәйкестікке қатысты саясаттарды сипаттайтын саясат өзгерістерін жариялады. Өзгерістер әлі де жоба күйінде, 30 күн ішінде талқылауға болады.
Белсенді зиянды бағдарламалар мен эксплуаттарды таратуға және орнатуды немесе жеткізуді қамтамасыз етуге бұрын қолданылған тыйымға қосымша, DMCA сәйкестік ережелеріне келесі шарттар қосылды:
- Репозитарийге авторлық құқықты қорғаудың техникалық құралдарын, оның ішінде лицензиялық кілттерді айналып өту технологияларын, сондай-ақ кілттерді генерациялау, кілттерді тексеруді айналып өту және жұмыстың бос мерзімін ұзарту бағдарламаларын орналастыруға айқын тыйым салу.
- Мұндай кодты жоюға өтініш беру тәртібі енгізілуде. Жоюға өтініш беруші бұғаттау алдында өтінімді сараптамаға жіберу ниеті бар техникалық мәліметтерді көрсетуі қажет.
- Репозиторий бұғатталған кезде, олар мәселелер мен PR-ларды экспорттау мүмкіндігін қамтамасыз етуге және заң қызметтерін ұсынуға уәде береді.
Эксплуатациялар мен зиянды бағдарлама ережелеріне енгізілген өзгерістер Microsoft корпорациясы шабуылдарды бастау үшін пайдаланылған Microsoft Exchange эксплойт прототипін жойғаннан кейін пайда болған сынды қарастырады. Жаңа ережелер белсенді шабуылдар үшін пайдаланылатын қауіпті мазмұнды қауіпсіздік зерттеулерін қолдайтын кодтан нақты бөлуге тырысады. Енгізілген өзгерістер:
- GitHub пайдаланушыларына эксплоиттері бар мазмұнды жариялау арқылы шабуыл жасауға немесе GitHub-ті эксплойттарды жеткізу құралы ретінде пайдалануға ғана емес, сонымен қатар белсенді шабуылдармен бірге келетін зиянды кодтар мен эксплойттарды жариялауға да тыйым салынады. Жалпы алғанда, қауіпсіздікті зерттеу кезінде дайындалған және түзетілген осалдықтарға әсер ететін эксплуаттардың мысалдарын орналастыруға тыйым салынбайды, бірақ бәрі «белсенді шабуылдар» терминінің қалай түсіндірілетініне байланысты болады.
Мысалы, браузерге шабуыл жасайтын бастапқы мәтіннің кез келген түрінде JavaScript кодын жариялау осы критерийге сәйкес келеді - шабуылдаушыға бастапқы кодты fetch көмегімен құрбанның браузеріне жүктеп алуына ештеңе кедергі келтірмейді, егер эксплуатация прототипі жұмыс істемейтін пішінде жарияланған болса, оны автоматты түрде түзету. , және оны орындау. Кез келген басқа код сияқты, мысалы, C++ тілінде - оны шабуылға ұшыраған машинада құрастыруға және оны орындауға ештеңе кедергі болмайды. Егер ұқсас коды бар репозиторий табылса, оны жоймай, оған кіруді бұғаттау жоспарлануда.
- Мәтінде «спамға», алдауға, алдау нарығына қатысуға, кез келген сайттардың ережелерін бұзуға арналған бағдарламаларға, фишингке және оның әрекеттеріне тыйым салатын бөлім жоғары жылжытылды.
- Блоктаумен келіспеген жағдайда апелляциялық шағым беру мүмкіндігін түсіндіретін тармақ қосылды.
- Қауіпсіздікті зерттеудің бөлігі ретінде ықтимал қауіпті мазмұн бар репозиторийлердің иелеріне талап қосылды. Мұндай мазмұнның болуы README.md файлының басында анық көрсетілуі керек және байланыс ақпараты SECURITY.md файлында берілуі керек. Жалпы GitHub ашылған осалдықтар үшін қауіпсіздік зерттеулерімен бірге жарияланған эксплойттарды жоймайды (0 күн емес), бірақ егер бұл эксплойттардың нақты шабуылдар үшін пайдаланылу қаупі бар деп есептесе, кіруді шектеу мүмкіндігін сақтайды. және GitHub қызметінде қолдау шабуылдар үшін қолданылатын код туралы шағымдар алды.
Ақпарат көзі: opennet.ru