GitHub ka publikuar ndryshime të politikave që përshkruajnë politikat në lidhje me postimin e shfrytëzimeve dhe kërkimit të malware, si dhe pajtueshmërinë me Aktin e të Drejtave të Autorit të Mijëvjeçarit Dixhital të SHBA (DMCA). Ndryshimet janë ende në status draft, të disponueshme për diskutim brenda 30 ditëve.
Përveç ndalimit të mëparshëm aktual për shpërndarjen dhe sigurimin e instalimit ose shpërndarjes së malware dhe shfrytëzimeve aktive, kushtet e mëposhtme janë shtuar në rregullat e pajtueshmërisë me DMCA:
- Ndalimi i qartë i vendosjes në depo të teknologjive për anashkalimin e mjeteve teknike të mbrojtjes së të drejtës së autorit, përfshirë çelësat e licencës, si dhe programet për gjenerimin e çelësave, anashkalimin e verifikimit të çelësave dhe zgjatjen e periudhës së lirë të punës.
- Po prezantohet një procedurë për paraqitjen e një kërkese për heqjen e një kodi të tillë. Aplikanti për fshirje kërkohet të japë detaje teknike, me një qëllim të deklaruar për të paraqitur aplikacionin për shqyrtim përpara bllokimit.
- Kur depoja bllokohet, ata premtojnë të ofrojnë aftësinë për të eksportuar çështje dhe PR, dhe për të ofruar shërbime ligjore.
Ndryshimet në rregullat e shfrytëzimit dhe malware adresojnë kritikat që erdhën pasi Microsoft hoqi një prototip të shfrytëzimit të Microsoft Exchange të përdorur për të nisur sulmet. Rregullat e reja përpiqen të ndajnë në mënyrë eksplicite përmbajtjen e rrezikshme të përdorur për sulme aktive nga kodi që mbështet kërkimin e sigurisë. Ndryshimet e bëra:
- Ndalohet jo vetëm sulmi ndaj përdoruesve të GitHub duke postuar përmbajtje me shfrytëzime në të ose përdorimi i GitHub si një mjet për të ofruar shfrytëzime, siç ishte rasti më parë, por edhe për të postuar kode me qëllim të keq dhe shfrytëzime që shoqërojnë sulmet aktive. Në përgjithësi, nuk është e ndaluar të postohen shembuj të shfrytëzimeve të përgatitura gjatë hulumtimit të sigurisë dhe që prekin dobësitë që tashmë janë rregulluar, por gjithçka do të varet nga mënyra se si interpretohet termi "sulme aktive".
Për shembull, publikimi i kodit JavaScript në çdo formë të tekstit burimor që sulmon një shfletues bie nën këtë kriter - asgjë nuk e pengon sulmuesin të shkarkojë kodin burim në shfletuesin e viktimës duke përdorur fetch, duke e rregulluar automatikisht atë nëse prototipi i shfrytëzimit publikohet në një formë jofunksionale. , dhe duke e ekzekutuar atë. Në mënyrë të ngjashme me çdo kod tjetër, për shembull në C++ - asgjë nuk ju pengon ta përpiloni atë në makinën e sulmuar dhe ta ekzekutoni atë. Nëse zbulohet një depo me kod të ngjashëm, është planifikuar të mos fshihet, por të bllokohet aksesi në të.
- Seksioni që ndalon "spam", mashtrimin, pjesëmarrjen në tregun e mashtrimit, programet për shkeljen e rregullave të çdo faqeje, phishing dhe përpjekjet e tij është zhvendosur më lart në tekst.
- Është shtuar një paragraf që shpjegon mundësinë e ankimimit në rast mosmarrëveshjeje me bllokimin.
- Është shtuar një kërkesë për pronarët e depove që mbajnë përmbajtje potencialisht të rrezikshme si pjesë e kërkimit të sigurisë. Prania e një përmbajtjeje të tillë duhet të përmendet në mënyrë eksplicite në fillim të skedarit README.md dhe informacioni i kontaktit duhet të jepet në skedarin SECURITY.md. Thuhet se në përgjithësi GitHub nuk heq shfrytëzimet e publikuara së bashku me kërkimin e sigurisë për dobësitë tashmë të zbuluara (jo 0-ditore), por rezervon mundësinë për të kufizuar aksesin nëse konsideron se ekziston rreziku që këto shfrytëzime të përdoren për sulme reale. dhe në shërbimin mbështetja GitHub ka marrë ankesa për kodin që përdoret për sulme.
Burimi: opennet.ru