GitHub huet Politikännerungen publizéiert, déi d'Politik betreffend d'Postéierung vun Ausnotzen a Malwarefuerschung skizzéieren, souwéi d'Konformitéit mam US Digital Millennium Copyright Act (DMCA). D'Ännerungen sinn nach am Entworf Status, sinn fir Diskussioun bannent 30 Deeg.
Zousätzlech zum virdru aktuellen Verbuet fir d'Installatioun oder d'Liwwerung vun aktive Malware an Ausnotzen ze verdeelen an ze garantéieren, sinn déi folgend Konditioune fir d'DMCA Konformitéitsregele bäigefüügt:
- Explizit Verbuet fir Technologien an de Repository ze placéieren fir technesch Mëttele vum Copyright Schutz ze ëmgoen, dorënner Lizenzschlësselen, souwéi Programmer fir Schlësselen ze generéieren, Schlësselverifizéierung ëmzegoen an d'gratis Aarbechtszäit ze verlängeren.
- Eng Prozedur fir eng Demande fir esou e Code ze läschen gëtt agefouert. De Bewerber fir d'Läschung ass verlaangt technesch Detailer ze ginn, mat enger deklaréierter Absicht d'Uwendung fir d'Untersuchung virum Blockéierung ofzeginn.
- Wann de Repository blockéiert ass, verspriechen se d'Fäegkeet fir Themen a PRs ze exportéieren, a juristesch Servicer ze bidden.
D'Ännerunge vun den Ausnotzen a Malwareregelen adresséieren d'Kritik déi koumen nodeems Microsoft e Prototyp Microsoft Exchange Exploit ewechgeholl huet fir Attacken ze lancéieren. Déi nei Regele probéieren explizit geféierlech Inhalter ze trennen, déi fir aktiv Attacke benotzt ginn, vum Code deen Sécherheetsfuerschung ënnerstëtzt. Ännerungen gemaach:
- Et ass verbueden net nëmmen GitHub Benotzer z'attackéieren andeems se Inhalt mat Ausnotzen drop posten oder GitHub benotzen als Mëttel fir Ausnotzen ze liwweren, wéi et virdru de Fall war, awer och fir béiswëlleg Code an Exploiten ze posten déi aktiv Attacke begleeden. Am Allgemengen ass et net verbueden Beispiller vun Ausnotzen ze posten, déi während der Sécherheetsfuerschung virbereet sinn a Schwachstelle beaflossen, déi scho fixéiert sinn, awer alles hänkt dovun of wéi de Begrëff "aktiv Attacken" interpretéiert gëtt.
Zum Beispill, JavaScript Code an iergendenger Form vu Quelltext ze verëffentlechen, deen e Browser attackéiert, fällt ënner dësem Critère - näischt verhënnert datt den Ugräifer de Quellcode an de Browser vum Affer eroflueden mat Hëllef vun Fetch, automatesch patchen wann den Exploit Prototyp an enger onoperabeler Form publizéiert gëtt , an ausféieren. Ähnlech mat all anere Code, zum Beispill am C ++ - näischt verhënnert Iech et op der attackéierter Maschinn ze kompiléieren an auszeféieren. Wann e Repository mat ähnlechen Code entdeckt gëtt, ass et geplangt net ze läschen, mee den Zougang zu him ze blockéieren.
- D'Sektioun verbidden "Spam", Bedruch, Participatioun um Bedruchmaart, Programmer fir d'Regele vun all Site ze verletzen, Phishing a seng Versuche gouf méi héich am Text geréckelt.
- E Paragraph ass bäigefüügt, deen d'Méiglechkeet erkläert fir en Appel ze maachen am Fall vun Meenungsverschiddenheet mat der Spär.
- Eng Fuerderung gouf bäigefüügt fir Besëtzer vu Repositories déi potenziell geféierlech Inhalter als Deel vun der Sécherheetsfuerschung hosten. D'Präsenz vun esou Inhalter muss explizit um Ufank vun der README.md Fichier ernimmt ginn, a Kontakt Informatiounen muss an der SECURITY.md Fichier ginn. Et gëtt uginn datt am Allgemengen GitHub keng Exploitë läscht, déi zesumme mat Sécherheetsfuerschung fir scho verëffentlechte Schwachstelle publizéiert goufen (net 0-Dag), awer behält d'Méiglechkeet den Zougang ze beschränken wann et denkt datt et e Risiko bleift datt dës Ausnotzen fir richteg Attacke benotzt ginn. an am Service GitHub Support huet Reklamatiounen iwwer de Code kritt fir Attacke benotzt.
Source: opennet.ru