GitHub ir publicējis politikas izmaiņas, kurās izklāstītas politikas attiecībā uz ļaunprātīgu izmantošanu un ļaunprātīgas programmatūras izpēti, kā arī atbilstību ASV Digitālās tūkstošgades autortiesību likumam (DMCA). Izmaiņas joprojām ir uzmetuma statusā, un tās ir pieejamas apspriešanai 30 dienu laikā.
Papildus iepriekš spēkā esošajam aizliegumam izplatīt un nodrošināt aktīvās ļaunprātīgas programmatūras un ekspluatācijas instalēšanu vai piegādi, Digitālās tūkstošgades autortiesību likuma atbilstības noteikumiem ir pievienoti šādi noteikumi:
- Skaidrs aizliegums ievietot repozitorijā tehnoloģijas, lai apietu autortiesību aizsardzības tehniskos līdzekļus, tostarp licences atslēgas, kā arī programmas atslēgu ģenerēšanai, apejot atslēgu pārbaudi un pagarinot brīvo darba periodu.
- Tiek ieviesta procedūra, kā iesniegt pieteikumu šāda koda noņemšanai. Dzēšanas pieteikuma iesniedzējam ir jāsniedz tehniska informācija, lai pirms bloķēšanas iesniegtu pieteikumu izskatīšanai.
- Kad repozitorijs ir bloķēts, viņi sola nodrošināt iespēju eksportēt jautājumus un PR, kā arī piedāvāt juridiskos pakalpojumus.
Izmaiņas ekspluatācijā un ļaunprātīgas programmatūras noteikumos ir vērstas uz kritiku, kas tika saņemta pēc tam, kad Microsoft noņēma Microsoft Exchange ļaunprātīgas izmantošanas prototipu, ko izmantoja uzbrukumu uzsākšanai. Jaunie noteikumi mēģina skaidri nodalīt bīstamo saturu, kas tiek izmantots aktīviem uzbrukumiem, no koda, kas atbalsta drošības izpēti. Veiktās izmaiņas:
- Ir aizliegts ne tikai uzbrukt GitHub lietotājiem, ievietojot tajā saturu ar uzbrukumiem, vai izmantot GitHub kā līdzekli ekspluatācijas nodrošināšanai, kā tas bija iepriekš, bet arī publicēt ļaunprātīgu kodu un ļaunprātīgu izmantošanu, kas pavada aktīvus uzbrukumus. Kopumā nav aizliegts ievietot drošības izpētes laikā sagatavotus ekspluatācijas piemērus, kas ietekmē jau novērstas ievainojamības, taču viss būs atkarīgs no tā, kā tiks interpretēts jēdziens “aktīvie uzbrukumi”.
Piemēram, JavaScript koda publicēšana jebkāda veida avota tekstā, kas uzbrūk pārlūkprogrammai, atbilst šim kritērijam — nekas neliedz uzbrucējam lejupielādēt avota kodu upura pārlūkprogrammā, izmantojot funkciju Fetch, automātiski to izlabojot, ja ekspluatācijas prototips tiek publicēts nederīgā formā. , un izpildot to. Līdzīgi ar jebkuru citu kodu, piemēram, C++ - nekas neliedz to kompilēt uz uzbrukuma mašīnas un izpildīt. Ja tiek atklāta repozitorija ar līdzīgu kodu, to plānots nevis dzēst, bet gan bloķēt piekļuvi tai.
- Sadaļa, kas aizliedz “surogātpastu”, krāpšanos, dalību krāpšanās tirgū, jebkuru vietņu noteikumu pārkāpšanas programmas, pikšķerēšanu un tās mēģinājumus, tekstā ir pārvietota augstāk.
- Pievienots punkts, kurā izskaidrota iespēja iesniegt apelāciju, ja nepiekrītat bloķēšanai.
- Ir pievienota prasība tādu krātuvju īpašniekiem, kurās drošības izpētes ietvaros tiek mitināts potenciāli bīstams saturs. Šāda satura esamība ir skaidri jānorāda faila README.md sākumā, un failā SECURITY.md ir jānorāda kontaktinformācija. Tiek norādīts, ka kopumā GitHub nenoņem ekspluatācijas, kas publicētas kopā ar drošības izpēti jau atklātām ievainojamībām (nevis 0 dienu), bet patur iespēju ierobežot piekļuvi, ja uzskata, ka joprojām pastāv risks, ka šie izmantojumi tiks izmantoti reāliem uzbrukumiem. un pakalpojumā GitHub atbalsts ir saņēmis sūdzības par koda izmantošanu uzbrukumiem.
Avots: opennet.ru