GitHub parantos nyebarkeun parobihan kabijakan anu ngagariskeun kabijakan ngeunaan postingan eksploitasi sareng panalungtikan malware, ogé patuh kana UU Hak Cipta Millenium Digital AS (DMCA). Parobihan masih aya dina status draf, sayogi pikeun diskusi dina 30 dinten.
Salian larangan anu saacanna aya dina nyebarkeun sareng mastikeun pamasangan atanapi pangiriman malware aktip sareng eksploitasi, istilah-istilah ieu parantos ditambah kana aturan patuh DMCA:
- Larangan eksplisit nempatkeun dina téknologi gudang pikeun ngaliwat cara téknis perlindungan hak cipta, kalebet konci lisénsi, ogé program pikeun ngahasilkeun konci, ngalangkungan verifikasi konci sareng manjangkeun waktos bébas gawé.
- Prosedur pikeun ngajukeun aplikasi pikeun ngahapus kodeu sapertos kitu nuju diwanohkeun. Ngalamar pikeun ngahapus diwajibkeun nyayogikeun detil téknis, kalayan niat nyatakeun pikeun ngalebetkeun aplikasi pikeun pamariksaan sateuacan diblokir.
- Nalika gudang diblokir, aranjeunna janji nyadiakeun kamampuhan pikeun ékspor isu jeung PRs, sarta nawiskeun jasa légal.
Parobihan kana eksploitasi sareng aturan malware alamat kritik anu sumping saatos Microsoft ngaleungitkeun prototipe eksploitasi Microsoft Exchange anu dianggo pikeun ngaluncurkeun serangan. Aturan anyar nyobian sacara eksplisit misahkeun eusi bahaya anu dianggo pikeun serangan aktip tina kode anu ngadukung panalungtikan kaamanan. Parobahan dilakukeun:
- Dilarang henteu ngan ukur narajang pangguna GitHub ku cara ngeposkeun eusi anu nganggo eksploitasi atanapi nganggo GitHub salaku alat pikeun nganteurkeun eksploitasi, sapertos anu sateuacanna, tapi ogé masangkeun kode jahat sareng eksploitasi anu marengan serangan aktip. Sacara umum, henteu dilarang masangkeun conto eksploitasi anu disiapkeun nalika panalungtikan kaamanan sareng mangaruhan kerentanan anu parantos dibenerkeun, tapi sadayana bakal gumantung kana kumaha istilah "serangan aktif" diinterpretasi.
Salaku conto, medarkeun kode JavaScript dina sagala rupa téks sumber anu nyerang browser kalebet kana kriteria ieu - teu aya anu nyegah panyerang pikeun ngaunduh kodeu sumber kana browser korban nganggo fetch, otomatis nambal upami prototipe eksploitasi diterbitkeun dina bentuk anu teu tiasa dianggo. , sareng ngalaksanakeunana. Nya kitu sareng kode anu sanés, contona dina C ++ - teu aya anu nyegah anjeun pikeun ngumpulkeun dina mesin anu diserang sareng ngalaksanakeunana. Upami aya repositori sareng kode anu sami, rencanana henteu ngahapus éta, tapi pikeun meungpeuk aksés ka éta.
- Bagian prohibiting "spam", selingkuh, partisipasi dina pasar selingkuh, program pikeun violating aturan situs mana wae, phishing jeung usaha na geus dipindahkeun luhur dina téks.
- Paragraf parantos ditambahkeun anu ngajelaskeun kamungkinan ngajukeun banding upami henteu satuju sareng blokiran.
- Sarat geus ditambahkeun pikeun nu boga repositories nu host eusi berpotensi bahaya salaku bagian tina panalungtikan kaamanan. Ayana eusi sapertos kudu disebutkeun sacara eksplisit dina awal file README.md, sarta informasi kontak kudu disadiakeun dina file SECURITY.md. Disebutkeun yén sacara umum GitHub henteu ngaleungitkeun eksploitasi anu diterbitkeun babarengan sareng panalungtikan kaamanan pikeun kerentanan anu parantos diungkabkeun (sanes 0-dinten), tapi ngagaduhan kasempetan pikeun ngabatesan aksés upami nganggap yén tetep aya résiko eksploitasi ieu dianggo pikeun serangan nyata. sareng dina jasa dukungan GitHub parantos nampi keluhan ngeunaan kodeu anu dianggo pikeun serangan.
sumber: opennet.ru