GitHub објави промени во политиките кои ги прикажуваат политиките во врска со објавувањето на експлоатирања и истражување на малициозен софтвер, како и усогласеноста со американскиот Закон за авторски права за дигитални милениуми (DMCA). Промените сè уште се во статус на нацрт, достапни за дискусија во рок од 30 дена.
Покрај претходно присутната забрана за дистрибуција и обезбедување на инсталација или испорака на активен малициозен софтвер и експлоатирања, следните услови се додадени на правилата за усогласеност со DMCA:
- Експлицитна забрана за ставање во складиштето технологии за заобиколување на технички средства за заштита на авторските права, вклучително и клучеви за лиценца, како и програми за генерирање клучеви, заобиколување на проверка на клучот и продолжување на слободниот период на работа.
- Се воведува постапка за поднесување барање за отстранување на ваква шифра. Од подносителот на барањето за бришење се бара да обезбеди технички детали, со декларирана намера да ја поднесе апликацијата на испитување пред блокирањето.
- Кога складиштето е блокирано, тие ветуваат дека ќе обезбедат можност за извоз на прашања и PR и ќе понудат правни услуги.
Промените на правилата за експлоатирања и малициозен софтвер се однесуваат на критиките што дојдоа откако Мајкрософт го отстрани прототипот на експлоатација на Microsoft Exchange што се користеше за напади. Новите правила се обидуваат експлицитно да ја одделат опасната содржина што се користи за активни напади од кодот што поддржува безбедносно истражување. Направени промени:
- Забрането е не само да се напаѓаат корисници на GitHub преку објавување содржини со експлоатирања на него или да се користи GitHub како средство за доставување експлоатирања, како што беше случај претходно, туку и да се објавуваат злонамерен код и експлоатирања што ги придружуваат активните напади. Општо земено, не е забрането да се објавуваат примери на експлоатирања подготвени за време на безбедносните истражувања и кои влијаат на пропустите кои веќе се поправени, но сè ќе зависи од тоа како ќе се толкува терминот „активни напади“.
На пример, објавувањето JavaScript код во која било форма на изворен текст што напаѓа прелистувач спаѓа под овој критериум - ништо не го спречува напаѓачот да го преземе изворниот код во прелистувачот на жртвата користејќи fetch, автоматски да го закрпи ако прототипот за експлоатација е објавен во нефункционална форма. , и неговото извршување. Слично со кој било друг код, на пример во C++ - ништо не ве спречува да го компајлирате на нападнатата машина и да го извршите. Доколку се открие складиште со сличен код, се планира да не се избрише, туку да се блокира пристапот до него.
- Делот што забранува „спам“, мамење, учество на пазарот за мамење, програми за кршење на правилата на која било страница, фишинг и негови обиди е поместено повисоко во текстот.
- Додаден е став во кој се објаснува можноста за поднесување жалба во случај на несогласување со блокирањето.
- Додадено е барање за сопствениците на складишта кои хостираат потенцијално опасна содржина како дел од безбедносното истражување. Присуството на таква содржина мора експлицитно да се спомене на почетокот на датотеката README.md, а информациите за контакт мора да се наведат во датотеката SECURITY.md. Се наведува дека генерално, GitHub не ги отстранува експлоатирањата објавени заедно со безбедносните истражувања за веќе откриените пропусти (не 0-ден), но ја задржува можноста да го ограничи пристапот доколку смета дека постои ризик овие експлоатирања да се користат за вистински напади и во услугата GitHub поддршката доби поплаки за кодот што се користи за напади.
Извор: opennet.ru