GitHub telah menerbitkan perubahan dasar yang menggariskan dasar mengenai penyiaran eksploitasi dan penyelidikan perisian hasad, serta pematuhan Akta Hak Cipta Milenium Digital AS (DMCA). Perubahan masih dalam status draf, tersedia untuk perbincangan dalam masa 30 hari.
Sebagai tambahan kepada larangan mengedar dan memastikan pemasangan atau penghantaran perisian hasad aktif dan eksploitasi yang sedia ada sebelum ini, syarat berikut telah ditambahkan pada peraturan pematuhan DMCA:
- Larangan eksplisit meletakkan dalam teknologi repositori untuk memintas cara teknikal perlindungan hak cipta, termasuk kunci lesen, serta program untuk menjana kunci, memintas pengesahan kunci dan melanjutkan tempoh kerja percuma.
- Prosedur untuk memfailkan permohonan untuk mengalih keluar kod tersebut sedang diperkenalkan. Pemohon untuk pemadaman dikehendaki memberikan butiran teknikal, dengan niat yang diisytiharkan untuk mengemukakan permohonan untuk peperiksaan sebelum disekat.
- Apabila repositori disekat, mereka berjanji untuk menyediakan keupayaan untuk mengeksport isu dan PR, dan menawarkan perkhidmatan undang-undang.
Perubahan pada peraturan eksploitasi dan perisian hasad menangani kritikan yang datang selepas Microsoft mengalih keluar prototaip eksploitasi Microsoft Exchange yang digunakan untuk melancarkan serangan. Peraturan baharu ini cuba memisahkan kandungan berbahaya secara eksplisit yang digunakan untuk serangan aktif daripada kod yang menyokong penyelidikan keselamatan. Perubahan yang dibuat:
- Ia dilarang bukan sahaja untuk menyerang pengguna GitHub dengan menyiarkan kandungan dengan eksploitasi padanya atau menggunakan GitHub sebagai cara untuk menyampaikan eksploitasi, seperti yang berlaku sebelum ini, tetapi juga untuk menyiarkan kod berniat jahat dan eksploitasi yang mengiringi serangan aktif. Secara umum, tidak dilarang untuk menyiarkan contoh eksploitasi yang disediakan semasa penyelidikan keselamatan dan menjejaskan kelemahan yang telah pun diperbaiki, tetapi segala-galanya akan bergantung pada cara istilah "serangan aktif" ditafsirkan.
Sebagai contoh, menerbitkan kod JavaScript dalam sebarang bentuk teks sumber yang menyerang penyemak imbas berada di bawah kriteria ini - tiada apa yang menghalang penyerang daripada memuat turun kod sumber ke dalam penyemak imbas mangsa menggunakan fetch, menampalnya secara automatik jika prototaip eksploitasi diterbitkan dalam bentuk yang tidak boleh dikendalikan , dan melaksanakannya. Begitu juga dengan mana-mana kod lain, contohnya dalam C++ - tiada apa yang menghalang anda daripada menyusunnya pada mesin yang diserang dan melaksanakannya. Jika repositori dengan kod serupa ditemui, ia dirancang untuk tidak memadamkannya, tetapi untuk menyekat akses kepadanya.
- Bahagian yang melarang "spam", penipuan, penyertaan dalam pasaran penipuan, program untuk melanggar peraturan mana-mana tapak, pancingan data dan percubaannya telah dialihkan lebih tinggi dalam teks.
- Perenggan telah ditambah yang menerangkan kemungkinan memfailkan rayuan sekiranya tidak bersetuju dengan penyekatan.
- Keperluan telah ditambahkan untuk pemilik repositori yang menganjurkan kandungan yang berpotensi berbahaya sebagai sebahagian daripada penyelidikan keselamatan. Kehadiran kandungan sedemikian mesti dinyatakan secara eksplisit pada permulaan fail README.md dan maklumat hubungan mesti disediakan dalam fail SECURITY.md. Dinyatakan bahawa secara umum GitHub tidak mengalih keluar eksploitasi yang diterbitkan bersama-sama dengan penyelidikan keselamatan untuk kelemahan yang telah didedahkan (bukan 0 hari), tetapi mempunyai peluang untuk menyekat akses jika ia menganggap bahawa masih terdapat risiko eksploitasi ini digunakan untuk serangan sebenar dan dalam perkhidmatan sokongan GitHub telah menerima aduan tentang kod yang digunakan untuk serangan.
Sumber: opennet.ru