GitHub эксплуаттарды жарыялоо жана кесепеттүү программаларды изилдөө, ошондой эле АКШнын Digital Millennium Copyright Act (DMCA) талаптарына ылайык саясаттарды чагылдырган саясатка өзгөртүүлөрдү жарыялады. Өзгөртүүлөр дагы эле долбоордун статусунда, 30 күндүн ичинде талкуулоо үчүн жеткиликтүү.
Активдүү кесепеттүү программаларды жана эксплуаттарды жайылтууга жана орнотууга же жеткирүүнү камсыздоого мурда коюлган тыюудан тышкары, DMCA ылайык келүү эрежелерине төмөнкү шарттар кошулду:
- Автордук укукту коргоонун техникалык каражаттарын, анын ичинде лицензиялык ачкычтарды, ошондой эле ачкычтарды генерациялоо программаларын, ачкычтарды текшерүүнү кыйгап өтүү жана иштөөнүн бош мөөнөтүн узартуу үчүн репозиторийге ачык тыюу салуу.
- Мындай кодду алып салуу үчүн арыз берүүнүн тартиби киргизилүүдө. Өчүрүүгө өтүнмө ээси бөгөт коюуга чейин өтүнмөнү экспертизага берүү ниети менен техникалык реквизиттерди берүүгө милдеттүү.
- Репозиторий бөгөттөлгөндө, алар маселелерди жана PRларды экспорттоо мүмкүнчүлүгүн камсыз кылууга жана юридикалык кызматтарды сунуштоого убада беришет.
Эксплуатацияларга жана кесепеттүү программалардын эрежелерине киргизилген өзгөртүүлөр Microsoft чабуулдарды ишке ашыруу үчүн колдонулган Microsoft Exchange эксплоитинин прототибин алып салгандан кийин келип чыккан сындарды карайт. Жаңы эрежелер активдүү чабуулдар үчүн колдонулган кооптуу мазмунду коопсуздук изилдөөсүн колдогон коддон ачык ажыратууга аракет кылат. Киргизилген өзгөртүүлөр:
- GitHub колдонуучуларына андагы эксплоиттер менен мазмунду жайгаштыруу аркылуу чабуул жасоого же GitHubду эксплоиттерди жеткирүүнүн каражаты катары колдонууга гана эмес, ошондой эле активдүү чабуулдарды коштогон зыяндуу коддорду жана эксплоиттерди жарыялоого да тыюу салынат. Жалпысынан алганда, коопсуздукту изилдөө учурунда даярдалган эксплуатациялардын мисалдарын жайгаштырууга тыюу салынбайт жана буга чейин оңдолгон алсыздыктарга таасир этет, бирок баары “активдүү чабуулдар” термини кандайча чечмеленүүдөн көз каранды.
Мисалы, JavaScript кодун браузерге кол салган булак тексттин каалаган формасында жарыялоо бул критерийге туура келет - чабуулчуга булак кодду fetch аркылуу жабырлануучунун браузерине жүктөөсүнө эч нерсе тоскоол болбойт, эгерде эксплуатациянын прототипи иштебей турган формада жарыяланган болсо, аны автоматтык түрдө жамоо , жана аны аткаруу. Башка коддор сыяктуу эле, мисалы, C++ тилинде - аны кол салган машинада компиляциялоого жана аны аткарууга эч нерсе тоскоол болбойт. Эгер окшош коду бар репозиторий табылса, аны жок кылуу эмес, ага кирүүгө бөгөт коюу пландаштырылууда.
- "Спамга", алдамчылыкка, алдамчылык базарына катышууга, ар кандай сайттардын эрежелерин бузуу программаларына, фишингге жана анын аракеттерине тыюу салган бөлүм текстте жогору жылдырылды.
- Бөгөт коюуга макул болбогон учурда даттануу мүмкүнчүлүгүн түшүндүргөн пункт кошулду.
- Коопсуздук изилдөөлөрүнүн бир бөлүгү катары потенциалдуу кооптуу мазмунду камтыган репозиторийлердин ээлерине талап кошулду. Мындай мазмундун бар экендиги README.md файлынын башында ачык көрсөтүлүшү керек жана байланыш маалыматы SECURITY.md файлында көрсөтүлүшү керек. Жалпысынан GitHub ачыкка чыккан кемчиликтер үчүн коопсуздук изилдөөлөрү менен бирге жарыяланган эксплойттарды алып салбайт (0 күндүк эмес), бирок бул эксплуатациялардын чыныгы чабуулдар үчүн колдонулуу коркунучу бар деп эсептесе, кирүү мүмкүнчүлүгүн чектөө мүмкүнчүлүгүн сактап калат деп айтылат. жана GitHub кызматында колдоо кол салуулар үчүн колдонулган код боюнча даттануулар алды.
Source: opennet.ru