ГитХуб је објавио измене политике које наводе смернице у вези са објављивањем експлоатација и истраживања злонамерног софтвера, као и усаглашеност са Законом о дигиталном миленијуму о ауторским правима САД (ДМЦА). Измене су и даље у статусу нацрта, доступне за дискусију у року од 30 дана.
Поред раније присутне забране дистрибуције и обезбеђивања инсталирања или испоруке активног малвера и експлоатације, следећи услови су додати ДМЦА правилима усклађености:
- Експлицитна забрана стављања у репозиторијум технологија за заобилажење техничких средстава заштите ауторских права, укључујући лиценцне кључеве, као и програме за генерисање кључева, заобилажење верификације кључева и продужење бесплатног периода рада.
- Уводи се поступак за подношење пријаве за уклањање такве шифре. Подносилац захтева за брисање је дужан да достави техничке податке, са изјављеном намером да поднесе пријаву на испитивање пре блокирања.
- Када је спремиште блокирано, обећавају да ће пружити могућност извоза издања и ПР-а и понудити правне услуге.
Промене правила о експлоатацији и малверу адресирају критике које су уследиле након што је Мицрософт уклонио прототип Мицрософт Екцханге експлоатације који се користио за покретање напада. Нова правила покушавају да експлицитно одвоје опасан садржај који се користи за активне нападе од кода који подржава безбедносна истраживања. Измене су направљене:
- Забрањено је не само нападати ГитХуб кориснике објављивањем садржаја са експлоатацијама на њему или користити ГитХуб као средство за испоруку експлоата, као што је био случај раније, већ и објављивање злонамерног кода и експлоата који прате активне нападе. Уопштено говорећи, није забрањено објављивање примера експлоатације припремљених током безбедносних истраживања и утицаја на рањивости које су већ отклоњене, али све ће зависити од тога како се тумачи појам „активни напади“.
На пример, објављивање ЈаваСцрипт кода у било ком облику изворног текста који напада претраживач потпада под овај критеријум – ништа не спречава нападача да преузме изворни код у претраживач жртве користећи дохват, аутоматски га закрпи ако је прототип експлоатације објављен у неоперативном облику , и извршавање. Слично са било којим другим кодом, на пример у Ц++ - ништа вас не спречава да га преведете на нападнуту машину и извршите. Уколико се открије спремиште са сличним кодом, планирано је да се не брише, већ да се блокира приступ њему.
- Одељак о забрани „спама“, варања, учешћа на тржишту варања, програма за кршење правила било којих сајтова, фишинга и његових покушаја је померен више у тексту.
- Додан је параграф који објашњава могућност подношења жалбе у случају неслагања са блокирањем.
- Додат је захтев за власнике спремишта у којима се налази потенцијално опасан садржај као део безбедносног истраживања. Присуство таквог садржаја мора бити експлицитно наведено на почетку датотеке РЕАДМЕ.мд, а контакт информације морају бити наведене у датотеци СЕЦУРИТИ.мд. Наводи се да генерално ГитХуб не уклања експлоатације објављене заједно са безбедносним истраживањима за већ откривене рањивости (не 0-дан), али задржава могућност да ограничи приступ ако сматра да постоји ризик да се ови експлоати користе за стварне нападе а у сервису ГитХуб подршка је примила жалбе на код који се користи за нападе.
Извор: опеннет.ру