GitHub သည် အမြတ်ထုတ်မှုများနှင့် မဲလ်ဝဲသုတေသနဆိုင်ရာ ပို့စ်တင်ခြင်းဆိုင်ရာ မူဝါဒများအပြင် US Digital Millennium မူပိုင်ခွင့်အက်ဥပဒေ (DMCA) နှင့် လိုက်လျောညီထွေဖြစ်စေမည့် မူဝါဒအပြောင်းအလဲများကို ထုတ်ပြန်ထားသည်။ အပြောင်းအလဲများသည် မူကြမ်းအခြေအနေတွင်ရှိနေဆဲဖြစ်ပြီး ရက်ပေါင်း 30 အတွင်း ဆွေးနွေးနိုင်မည်ဖြစ်သည်။
လက်ရှိအသုံးပြုနေသော malware နှင့် exploits များကို ဖြန့်ဖြူးခြင်းနှင့် တပ်ဆင်ခြင်း သို့မဟုတ် ပေးပို့ခြင်းအား သေချာစေရန်အတွက် ယခင်က လက်ရှိတားမြစ်ချက်အပြင်၊ အောက်ပါ စည်းကမ်းချက်များကို DMCA လိုက်နာမှု စည်းမျဉ်းများတွင် ထည့်သွင်းထားပါသည်။
- လိုင်စင်သော့များအပါအဝင် လိုင်စင်ကီးများ၊ သော့ထုတ်လုပ်ရန်၊ သော့အတည်ပြုခြင်းကိုကျော်ဖြတ်ခြင်းနှင့် အလုပ်အခမဲ့ကာလကို တိုးချဲ့ခြင်းအပါအဝင် နည်းပညာဆိုင်ရာနည်းလမ်းများကို ကျော်လွှားခြင်းအတွက် သိုလှောင်မှုနည်းပညာများတွင် ထည့်သွင်းခြင်းအား အတိအလင်းတားမြစ်ထားသည်။
- ထိုသို့သောကုဒ်ကိုဖယ်ရှားရန် လျှောက်လွှာတင်ခြင်းလုပ်ငန်းစဉ်ကို စတင်လုပ်ဆောင်နေပါသည်။ ဖျက်သိမ်းခြင်းအတွက် လျှောက်ထားသူသည် ပိတ်ဆို့ခြင်းမပြုမီ စစ်ဆေးမှုအတွက် လျှောက်လွှာတင်သွင်းရန် ရည်ရွယ်ချက်ဖြင့် ကြေညာထားသော နည်းပညာဆိုင်ရာ အသေးစိတ်အချက်အလက်များကို ပေးဆောင်ရန် လိုအပ်ပါသည်။
- repository ကို ပိတ်ဆို့ထားသောအခါတွင် ပြဿနာများနှင့် PR များကို တင်ပို့နိုင်စွမ်းရှိပြီး တရားဝင်ဝန်ဆောင်မှုများကို ပေးဆောင်မည်ဟု ကတိပြုပါသည်။
တိုက်ခိုက်မှုများကို စတင်ရန် အသုံးပြုသည့် Microsoft Exchange exploit ၏ ရှေ့ပြေးပုံစံကို Microsoft က ဖယ်ရှားပြီးနောက် ထွက်ပေါ်လာသည့် အသုံးချမှုများနှင့် malware စည်းမျဉ်းများဆိုင်ရာ အပြောင်းအလဲများသည် ဝေဖန်မှုများကို တုံ့ပြန်သည်။ စည်းမျဉ်းအသစ်များသည် လုံခြုံရေးသုတေသနကို ပံ့ပိုးပေးသည့် ကုဒ်မှ တက်ကြွသောတိုက်ခိုက်မှုများအတွက် အသုံးပြုသည့် အန္တရာယ်ရှိသော အကြောင်းအရာများကို ပြတ်သားစွာ ခွဲခြားရန် ကြိုးပမ်းသည်။ အပြောင်းအလဲများ-
- ၎င်းတွင် အမြတ်ထုတ်မှုများဖြင့် အကြောင်းအရာများ ပို့စ်တင်ခြင်းဖြင့် GitHub အသုံးပြုသူများကို တိုက်ခိုက်ရန် သို့မဟုတ် ယခင်ကကဲ့သို့ အသုံးချမှုများ ပေးပို့ခြင်းနည်းလမ်းအဖြစ် GitHub ကို အသုံးပြုခြင်းသာမက တက်ကြွသော တိုက်ခိုက်မှုများနှင့်အတူ အန္တရာယ်ရှိသော ကုဒ်နှင့် အသုံးချမှုများကို ပို့စ်တင်ရန်လည်း တားမြစ်ထားသည်။ ယေဘူယျအားဖြင့်၊ လုံခြုံရေးသုတေသနအတွင်း ပြင်ဆင်ပြီးဖြစ်သည့် အားနည်းချက်များကို ထိခိုက်စေသည့် အမြတ်ထုတ်မှုများနမူနာများကို ပို့စ်တင်ရန် တားမြစ်ထားခြင်းမရှိသော်လည်း အရာအားလုံးသည် "တက်ကြွသောတိုက်ခိုက်မှုများ" ဟူသော အသုံးအနှုန်းကို မည်သို့အဓိပ္ပာယ်ဖွင့်ဆိုသည်အပေါ် မူတည်မည်ဖြစ်သည်။
ဥပမာအားဖြင့်၊ ဘရောက်ဆာကို တိုက်ခိုက်သည့် အရင်းအမြစ်စာသားပုံစံဖြင့် ထုတ်ဝေခြင်းသည် ဤစံနှုန်းအောက်တွင် ကျရောက်နေသည် - တိုက်ခိုက်သူသည် အရင်းအမြစ်ကုဒ်ကို ထုတ်ယူအသုံးပြု၍ သားကောင်၏ဘရောက်ဆာထဲသို့ ဒေါင်းလုဒ်ဆွဲခြင်းမှ တားဆီးပေးသည်၊ အသုံးချပုံတူပုံစံကို အသုံးချ၍မရသော ပုံစံဖြင့် ထုတ်ဝေပါက ၎င်းကို အလိုအလျောက် ဖာထေးပေးသည် , နှင့်ကွပ်မျက်။ ဥပမာ C++ တွင်ရှိသော အခြားကုဒ်များနှင့် အလားတူပင် - တိုက်ခိုက်ခံရသောစက်တွင် ၎င်းကို စုစည်းပြီး လုပ်ဆောင်ခြင်းမှ သင့်ကို တားဆီးပေးမည်မဟုတ်ပါ။ အလားတူကုဒ်ပါသော သိုလှောင်ရုံတစ်ခုကို တွေ့ရှိပါက၊ ၎င်းကို ဖျက်ပစ်ရန် စီစဉ်ထားသော်လည်း ၎င်းကို ဝင်ရောက်ခွင့်ကို ပိတ်ပင်ရန် စီစဉ်ထားသည်။
- “စပမ်း”၊ လှည့်စားမှု၊ လိမ်လည်လှည့်ဖြားမှုဈေးကွက်တွင် ပါဝင်မှုကို တားမြစ်သည့်ကဏ္ဍ၊ မည်သည့်ဆိုက်များ၏ စည်းမျဉ်းများကို ချိုးဖောက်သည့်ပရိုဂရမ်များ၊ ဖြားယောင်းခြင်းနှင့် ၎င်း၏ကြိုးပမ်းမှုများကို စာသားတွင် ပိုမိုမြင့်မားစွာရွှေ့ထားသည်။
- ပိတ်ဆို့ခြင်းနှင့်ပတ်သက်၍ သဘောမတူပါက အယူခံတင်သွင်းနိုင်ခြေကို ရှင်းပြထားသည့် စာပိုဒ်တစ်ပိုဒ်ကို ထည့်သွင်းထားသည်။
- လုံခြုံရေး သုတေသန၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အန္တရာယ်ရှိနိုင်သော အကြောင်းအရာများကို လက်ခံဆောင်ရွက်ပေးသည့် သိုလှောင်ရုံပိုင်ရှင်များအတွက် လိုအပ်ချက်တစ်ခု ထည့်သွင်းထားပါသည်။ ထိုသို့သောအကြောင်းအရာများပါဝင်မှုကို README.md ဖိုင်၏အစတွင် အတိအလင်းဖော်ပြရမည်ဖြစ်ပြီး ဆက်သွယ်ရန်အချက်အလက်များကို SECURITY.md ဖိုင်တွင် ပေးဆောင်ရမည်ဖြစ်သည်။ ယေဘုယျအားဖြင့် GitHub သည် ထုတ်ဖော်ပြီးသား အားနည်းချက်များအတွက် လုံခြုံရေးသုတေသနနှင့်အတူ ထုတ်ဝေထားသော exploits များကို ဖယ်ရှားခြင်းမပြုပါ (0-day မဟုတ်)၊ သို့သော် အမှန်တကယ်တိုက်ခိုက်မှုများအတွက် အဆိုပါ exploits များကို အသုံးပြုမည့် အန္တရာယ်ရှိနေသည်ဟု ယူဆပါက ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် အခွင့်အရေးကို လက်ဝယ်ရှိပါသည်။ ဝန်ဆောင်မှုတွင် GitHub ပံ့ပိုးမှုတွင် တိုက်ခိုက်မှုများအတွက် အသုံးပြုသည့် ကုဒ်အကြောင်း တိုင်ကြားစာများ လက်ခံရရှိထားသည်။
source: opennet.ru