GitHub ippubblika bidliet fil-politika li jiddeskrivu politiki dwar l-istazzjonar ta’ sfruttamenti u riċerka malware, kif ukoll il-konformità mal-Att dwar id-Dritt tal-Millenju Diġitali tal-Istati Uniti (DMCA). Il-bidliet għadhom fl-istatus ta' abbozz, disponibbli għal diskussjoni fi żmien 30 jum.
Minbarra l-projbizzjoni li qabel kienet preżenti dwar id-distribuzzjoni u l-iżgurar tal-installazzjoni jew it-twassil ta' malware u sfruttamenti attivi, it-termini li ġejjin ġew miżjuda mar-regoli ta' konformità tad-DMCA:
- Projbizzjoni espliċita tat-tqegħid fir-repożitorju ta' teknoloġiji biex jinqabżu mezzi tekniċi ta' protezzjoni tad-drittijiet tal-awtur, inklużi ċwievet tal-liċenzja, kif ukoll programmi għall-ġenerazzjoni taċ-ċwievet, jinqabżu l-verifika taċ-ċwievet u jiġi estiż il-perjodu ħieles tax-xogħol.
- Qed tiġi introdotta proċedura biex tiġi ppreżentata applikazzjoni biex jitneħħa kodiċi bħal dan. L-applikant għat-tħassir huwa meħtieġ li jipprovdi dettalji tekniċi, b'intenzjoni ddikjarata li jissottometti l-applikazzjoni għal eżami qabel l-imblukkar.
- Meta r-repożitorju jiġi mblukkat, huma jwiegħdu li jipprovdu l-abbiltà li jesportaw kwistjonijiet u PRs, u joffru servizzi legali.
Il-bidliet fl-isfruttamenti u r-regoli tal-malware jindirizzaw il-kritika li saret wara li Microsoft neħħiet prototip ta’ sfruttament ta’ Microsoft Exchange użat biex iniedi attakki. Ir-regoli l-ġodda jippruvaw jisseparaw b'mod espliċitu kontenut perikoluż użat għal attakki attivi minn kodiċi li jappoġġja r-riċerka tas-sigurtà. Bidliet li saru:
- Huwa pprojbit mhux biss li tattakka lill-utenti ta’ GitHub billi tippubblika kontenut bi sfruttamenti fuqu jew li tuża GitHub bħala mezz ta’ kunsinna ta’ exploits, kif kien il-każ qabel, iżda wkoll li tpoġġi kodiċi malizzjuż u exploits li jakkumpanjaw attakki attivi. B'mod ġenerali, mhuwiex ipprojbit li jitqiegħdu eżempji ta 'sfruttamenti ppreparati waqt ir-riċerka tas-sigurtà u li jaffettwaw vulnerabbiltajiet li diġà ġew iffissati, iżda kollox jiddependi fuq kif it-terminu "attakki attivi" jiġi interpretat.
Pereżempju, il-pubblikazzjoni ta’ kodiċi JavaScript fi kwalunkwe forma ta’ test tas-sors li jattakka browser taqa’ taħt dan il-kriterju - xejn ma jipprevjeni lill-attakkant milli jniżżel il-kodiċi tas-sors fil-browser tal-vittma bl-użu ta’ fetch, u awtomatikament jimpenjah jekk il-prototip ta’ sfruttament jiġi ppubblikat f’forma inoperabbli. , u tesegwixxiha. Bl-istess mod ma 'kwalunkwe kodiċi ieħor, pereżempju f'C++ - xejn ma jipprevjenik milli tikkumpilaha fuq il-magna attakkata u tesegwixxiha. Jekk jiġi skopert repożitorju b'kodiċi simili, huwa ppjanat li ma jitħassarx, iżda li jimblokka l-aċċess għalih.
- It-taqsima li tipprojbixxi "spam", qerq, parteċipazzjoni fis-suq tal-qerq, programmi għall-ksur tar-regoli ta 'kwalunkwe sit, phishing u t-tentattivi tiegħu tmexxiet ogħla fit-test.
- Ġie miżjud paragrafu li jispjega l-possibbiltà li jiġi ppreżentat appell f’każ ta’ nuqqas ta’ qbil mal-imblukkar.
- Ġie miżjud rekwiżit għal sidien ta' repożitorji li jospitaw kontenut potenzjalment perikoluż bħala parti mir-riċerka tas-sigurtà. Il-preżenza ta’ tali kontenut trid tissemma b’mod espliċitu fil-bidu tal-fajl README.md, u l-informazzjoni ta’ kuntatt trid tiġi pprovduta fil-fajl SECURITY.md. Huwa ddikjarat li b'mod ġenerali GitHub ma jneħħix l-isfruttamenti ppubblikati flimkien mar-riċerka tas-sigurtà għal vulnerabbiltajiet diġà żvelati (mhux 0-day), iżda jirriserva l-opportunità li jirrestrinġi l-aċċess jekk iqis li jibqa' r-riskju li dawn l-isfruttamenti jintużaw għal attakki reali. u fis-servizz l-appoġġ GitHub irċieva ilmenti dwar il-kodiċi li qed jintuża għall-attakki.
Sors: opennet.ru