GitHub a publicat modificări ale politicii care conturează politicile privind postarea de exploit-uri și cercetarea programelor malware, precum și conformitatea cu Digital Millennium Copyright Act (DMCA) din SUA. Modificările sunt încă în stadiu de schiță, disponibile pentru discuție în 30 de zile.
În plus față de interdicția actuală anterior privind distribuirea și asigurarea instalării sau livrării de programe malware și exploatări active, următorii termeni au fost adăugați la regulile de conformitate cu DMCA:
- Interzicerea explicită a introducerii în depozit a tehnologiilor pentru ocolirea mijloacelor tehnice de protecție a dreptului de autor, inclusiv cheile de licență, precum și a programelor de generare a cheilor, ocolirea verificării cheilor și prelungirea perioadei libere de lucru.
- Se introduce o procedură de depunere a unei cereri de eliminare a unui astfel de cod. Solicitantul pentru ștergere este obligat să furnizeze detalii tehnice, cu intenția declarată de a depune cererea pentru examinare înainte de blocare.
- Când depozitul este blocat, ei promit să ofere posibilitatea de a exporta probleme și PR-uri și să ofere servicii juridice.
Modificările aduse exploit-urilor și regulilor malware răspund criticilor care au venit după ce Microsoft a eliminat un prototip de exploit Microsoft Exchange folosit pentru a lansa atacuri. Noile reguli încearcă să separe în mod explicit conținutul periculos folosit pentru atacuri active de codul care sprijină cercetarea în materie de securitate. Modificări efectuate:
- Este interzis nu numai să ataci utilizatorii GitHub prin postarea de conținut cu exploit-uri sau să folosești GitHub ca mijloc de livrare a exploit-urilor, așa cum a fost cazul anterior, ci și să postezi cod rău intenționat și exploit-uri care însoțesc atacurile active. În general, nu este interzisă postarea de exemple de exploit-uri pregătite în timpul cercetărilor de securitate și care afectează vulnerabilități care au fost deja remediate, dar totul va depinde de modul în care este interpretat termenul „atacuri active”.
De exemplu, publicarea codului JavaScript sub orice formă de text sursă care atacă un browser se încadrează în acest criteriu - nimic nu-l împiedică pe atacator să descarce codul sursă în browserul victimei folosind fetch, corectându-l automat dacă prototipul de exploatare este publicat într-o formă inoperabilă , și executându-l. La fel cu orice alt cod, de exemplu în C++ - nimic nu vă împiedică să îl compilați pe mașina atacată și să îl executați. Dacă este descoperit un depozit cu cod similar, se plănuiește să nu îl ștergeți, ci să blocați accesul la acesta.
- Secțiunea care interzice „spam”, înșelăciunea, participarea la piața de înșelăciune, programele pentru încălcarea regulilor oricăror site-uri, phishing-ul și încercările acestuia a fost mutată mai sus în text.
- S-a adăugat un paragraf care explică posibilitatea depunerii unei contestații în caz de dezacord cu blocarea.
- A fost adăugată o cerință pentru proprietarii de depozite care găzduiesc conținut potențial periculos, ca parte a cercetării de securitate. Prezența unui astfel de conținut trebuie menționată în mod explicit la începutul fișierului README.md, iar informațiile de contact trebuie furnizate în fișierul SECURITY.md. Se afirmă că, în general, GitHub nu elimină exploit-urile publicate împreună cu cercetările de securitate pentru vulnerabilități deja dezvăluite (nu 0-day), dar își rezervă posibilitatea de a restricționa accesul dacă consideră că există riscul ca aceste exploit-uri să fie folosite pentru atacuri reale. iar în serviciul suportul GitHub a primit plângeri cu privire la utilizarea codului pentru atacuri.
Sursa: opennet.ru