„GitHub“ paskelbė politikos pakeitimus, kuriuose apibrėžiama politika, susijusi su išnaudojimų paskelbimu ir kenkėjiškų programų tyrimu, taip pat su JAV skaitmeninio tūkstantmečio autorių teisių įstatymo (DMCA) laikymusi. Pakeitimai vis dar yra juodraščio būsenoje, juos galima aptarti per 30 dienų.
Be anksčiau galiojusio draudimo platinti ir užtikrinti aktyvių kenkėjiškų programų bei išnaudojimų diegimą ar pristatymą, į DMCA atitikties taisykles buvo įtrauktos šios sąlygos:
- Aiškus draudimas talpinti saugykloje technologijas, skirtas apeiti technines autorių teisių apsaugos priemones, įskaitant licencijų raktus, taip pat programas, skirtas generuoti raktus, apeiti rakto patikrinimą ir pratęsti nemokamą darbo laikotarpį.
- Įvedama prašymo pašalinti tokį kodą padavimo tvarka. Pareiškėjas dėl ištrynimo privalo pateikti techninius duomenis, pareiškęs ketinimą pateikti prašymą nagrinėti prieš blokavimą.
- Kai saugykla bus užblokuota, jie žada suteikti galimybę eksportuoti problemas ir PR bei pasiūlyti teisines paslaugas.
Išnaudojimų ir kenkėjiškų programų taisyklių pakeitimai atkreipia dėmesį į kritiką, kilusią po to, kai „Microsoft“ pašalino „Microsoft Exchange“ išnaudojimo prototipą, naudojamą atakoms pradėti. Naujosiose taisyklėse bandoma aiškiai atskirti pavojingą turinį, naudojamą aktyvioms atakoms, nuo kodo, kuris palaiko saugumo tyrimus. Atlikti pakeitimai:
- Draudžiama ne tik atakuoti „GitHub“ naudotojus skelbiant jame turinį su išnaudojimais arba naudoti „GitHub“ kaip išnaudojimų pateikimo priemonę, kaip buvo anksčiau, bet ir skelbti kenkėjišką kodą bei aktyvias atakas lydinčius išnaudojimus. Apskritai nedraudžiama skelbti saugumo tyrimų metu parengtų išnaudojimų, turinčių įtakos jau ištaisytam pažeidžiamumui, pavyzdžių, tačiau viskas priklausys nuo to, kaip bus interpretuojamas terminas „aktyvios atakos“.
Pavyzdžiui, „JavaScript“ kodo paskelbimas bet kokios formos šaltinio tekste, kuris atakuoja naršyklę, patenka į šį kriterijų – niekas netrukdo užpuolikui atsisiųsti šaltinio kodą į aukos naršyklę naudojant „fetch“ ir automatiškai jį pataisyti, jei išnaudojimo prototipas paskelbiamas neveikiančia forma. , ir jį vykdyti. Panašiai ir su bet kokiu kitu kodu, pavyzdžiui, C++ – niekas netrukdo jo sukompiliuoti užpultame kompiuteryje ir jį vykdyti. Aptikus panašaus kodo saugyklą, planuojama ją ne ištrinti, o blokuoti prieigą prie jos.
- Skyrius, draudžiantis „spam“, sukčiavimą, dalyvavimą sukčiavimo rinkoje, bet kokių svetainių taisyklių pažeidimo programas, sukčiavimą ir jos bandymus, tekste perkelta aukščiau.
- Pridėta pastraipa, kurioje paaiškinama galimybė pateikti apeliaciją, jei nesutinkate su blokavimu.
- Pridėtas reikalavimas saugyklų, kuriose saugomas potencialiai pavojingas turinys, savininkams atliekant saugumo tyrimus. Tokio turinio buvimas turi būti aiškiai nurodytas README.md failo pradžioje, o kontaktinė informacija turi būti pateikta SECURITY.md faile. Teigiama, kad apskritai „GitHub“ nepašalina išnaudojimų, paskelbtų kartu su saugumo tyrimais dėl jau atskleistų pažeidžiamumų (ne 0 dienų), tačiau pasilieka galimybę apriboti prieigą, jei mano, kad išlieka rizika, kad šie išnaudojimai bus panaudoti tikroms atakoms. o paslaugoje „GitHub“ palaikymas gavo skundų dėl kodo, naudojamo atakoms.
Šaltinis: opennet.ru