GitHub je objavil spremembe pravilnika, ki opisujejo pravilnike glede objavljanja izkoriščanj in raziskav zlonamerne programske opreme ter skladnost z ameriškim Zakonom o elektronskih avtorskih pravicah (DMCA). Spremembe so še vedno v osnutku, na voljo za razpravo v 30 dneh.
Poleg prej obstoječe prepovedi distribucije in zagotavljanja namestitve ali dostave aktivne zlonamerne programske opreme in izkoriščanja so bili pravilom skladnosti DMCA dodani naslednji pogoji:
- Izrecna prepoved umestitve v repozitorij tehnologij za obhod tehničnih sredstev za zaščito avtorskih pravic, vključno z licenčnimi ključi, kot tudi programov za generiranje ključev, obhod preverjanja ključev in podaljšanje brezplačnega obdobja dela.
- Uvaja se postopek za vložitev vloge za odstranitev takšne kode. Prosilec za izbris je dolžan predložiti tehnične podatke, z izjavo, da bo vlogo oddal v pregled pred blokado.
- Ko je repozitorij blokiran, obljubljajo, da bodo zagotovili možnost izvoza vprašanj in PR-jev ter ponudili pravne storitve.
Spremembe pravil o izkoriščanju in zlonamerni programski opremi obravnavajo kritike, ki so prišle po tem, ko je Microsoft odstranil prototip izkoriščanja Microsoft Exchange, ki se uporablja za zagon napadov. Nova pravila poskušajo izrecno ločiti nevarno vsebino, ki se uporablja za aktivne napade, od kode, ki podpira varnostne raziskave. Izvedene spremembe:
- Prepovedano je ne samo napadati uporabnike GitHub z objavo vsebine z exploiti ali uporabljati GitHub kot sredstvo za dostavo exploit, kot je bilo prej, temveč tudi objavljanje zlonamerne kode in exploit, ki spremljajo aktivne napade. Na splošno ni prepovedano objavljati primerov podvigov, ki so bili pripravljeni med varnostnimi raziskavami in vplivajo na ranljivosti, ki so že bile odpravljene, vendar bo vse odvisno od razlage izraza "aktivni napadi".
Na primer, objava kode JavaScript v kakršni koli obliki izvornega besedila, ki napade brskalnik, spada pod to merilo - nič ne preprečuje napadalcu, da naloži izvorno kodo v žrtvin brskalnik s pomočjo pridobivanja in jo samodejno popravi, če je prototip izkoriščanja objavljen v neuporabni obliki in njegovo izvajanje. Podobno je z vsako drugo kodo, na primer v C++ - nič vam ne preprečuje, da bi jo prevedli na napadenem stroju in jo izvršili. Če se odkrije repozitorij s podobno kodo, je načrtovano, da ga ne izbrišete, ampak blokirate dostop do njega.
- Razdelek, ki prepoveduje »neželeno pošto«, goljufanje, udeležbo na trgu goljufij, programe za kršenje pravil katerih koli spletnih mest, lažno predstavljanje in njegove poskuse je premaknjen višje v besedilu.
- Dodan je odstavek, ki pojasnjuje možnost vložitve pritožbe v primeru nestrinjanja z blokado.
- Dodana je bila zahteva za lastnike skladišč, ki gostijo potencialno nevarno vsebino kot del varnostnih raziskav. Prisotnost takšne vsebine mora biti izrecno navedena na začetku datoteke README.md, kontaktni podatki pa morajo biti navedeni v datoteki SECURITY.md. Navedeno je, da GitHub na splošno ne odstrani izkoriščanj, objavljenih skupaj z varnostnimi raziskavami za že razkrite ranljivosti (ne 0-dnevne), vendar si pridržuje možnost, da omeji dostop, če meni, da še vedno obstaja tveganje, da se ta izkoriščanja uporabijo za resnične napade. in v storitvi GitHub je podpora prejela pritožbe glede kode, ki se uporablja za napade.
Vir: opennet.ru