O GitHub publicou mudanças nas políticas que descrevem as políticas relativas à publicação de explorações e pesquisas de malware, bem como a conformidade com a Lei de Direitos Autorais do Milênio Digital (DMCA) dos EUA. As alterações ainda estão em fase de rascunho, disponíveis para discussão em até 30 dias.
Além da proibição anteriormente presente de distribuição e garantia da instalação ou entrega de malware e explorações ativas, os seguintes termos foram adicionados às regras de conformidade da DMCA:
- Proibição explícita de colocação no repositório de tecnologias para contornar meios técnicos de proteção de direitos autorais, incluindo chaves de licença, bem como programas para geração de chaves, contornando a verificação de chaves e estendendo o período de trabalho gratuito.
- Está sendo introduzido um procedimento para preencher um pedido de remoção de tal código. O requerente da eliminação é obrigado a fornecer dados técnicos, com a intenção declarada de submeter o pedido para análise antes do bloqueio.
- Quando o repositório é bloqueado, eles prometem fornecer a capacidade de exportar questões e PRs e oferecer serviços jurídicos.
As mudanças nas regras de exploração e malware abordam as críticas que surgiram depois que a Microsoft removeu um protótipo de exploração do Microsoft Exchange usado para lançar ataques. As novas regras tentam separar explicitamente o conteúdo perigoso utilizado para ataques ativos do código que apoia a investigação de segurança. Alterações feitas:
- É proibido não apenas atacar usuários do GitHub postando conteúdo com exploits ou usar o GitHub como meio de entregar exploits, como acontecia antes, mas também postar códigos maliciosos e exploits que acompanham ataques ativos. Em geral, não é proibido postar exemplos de exploits preparados durante pesquisas de segurança e que afetem vulnerabilidades já corrigidas, mas tudo dependerá de como o termo “ataques ativos” for interpretado.
Por exemplo, a publicação de código JavaScript em qualquer forma de texto-fonte que ataque um navegador se enquadra neste critério - nada impede que o invasor baixe o código-fonte no navegador da vítima usando fetch, corrigindo-o automaticamente se o protótipo de exploração for publicado de forma inoperável. e executá-lo. Da mesma forma com qualquer outro código, por exemplo em C++ - nada impede que você o compile na máquina atacada e execute-o. Se um repositório com código semelhante for descoberto, planeja-se não excluí-lo, mas bloquear o acesso a ele.
- A seção que proíbe “spam”, trapaça, participação no mercado de trapaça, programas para violar as regras de quaisquer sites, phishing e suas tentativas foi movida para uma posição superior no texto.
- Foi acrescentado um parágrafo explicando a possibilidade de interposição de recurso em caso de desacordo com o bloqueio.
- Foi adicionado um requisito para proprietários de repositórios que hospedam conteúdo potencialmente perigoso como parte da pesquisa de segurança. A presença de tal conteúdo deve ser explicitamente mencionada no início do arquivo README.md, e as informações de contato devem ser fornecidas no arquivo SECURITY.md. Afirma-se que, em geral, o GitHub não remove explorações publicadas juntamente com pesquisas de segurança para vulnerabilidades já divulgadas (não de dia 0), mas reserva a oportunidade de restringir o acesso se considerar que ainda existe o risco de essas explorações serem usadas para ataques reais. e no serviço o suporte do GitHub tem recebido reclamações sobre o código usado para ataques.
Fonte: opennet.ru