GitHub har publicerat policyändringar som beskriver policyer angående publicering av utnyttjande och skadlig programvara, samt efterlevnad av US Digital Millennium Copyright Act (DMCA). Ändringarna är fortfarande i utkaststatus, tillgängliga för diskussion inom 30 dagar.
Utöver det tidigare nuvarande förbudet mot att distribuera och säkerställa installation eller leverans av aktiv skadlig programvara och utnyttjande, har följande villkor lagts till i DMCA-efterlevnadsreglerna:
- Uttryckligt förbud mot att i förvaret placera teknik för att kringgå tekniska medel för upphovsrättsskydd, inklusive licensnycklar, såväl som program för att generera nycklar, kringgå nyckelverifiering och förlänga den fria arbetsperioden.
- Ett förfarande för att lämna in en ansökan om att ta bort en sådan kod håller på att införas. Den som ansöker om radering är skyldig att tillhandahålla tekniska detaljer, med en uttalad avsikt att lämna in ansökan för prövning innan blockering.
- När förvaret är blockerat lovar de att ge möjligheten att exportera frågor och PR och erbjuda juridiska tjänster.
Ändringarna i reglerna för utnyttjande och skadlig programvara tar upp kritik som kom efter att Microsoft tog bort en prototyp av Microsoft Exchange-missbruk som användes för att starta attacker. De nya reglerna försöker uttryckligen separera farligt innehåll som används för aktiva attacker från kod som stöder säkerhetsforskning. Förändringar gjorda:
- Det är förbjudet att inte bara attackera GitHub-användare genom att posta innehåll med exploateringar eller att använda GitHub som ett sätt att leverera exploateringar, vilket var fallet tidigare, utan också att posta skadlig kod och exploateringar som åtföljer aktiva attacker. Generellt sett är det inte förbjudet att lägga upp exempel på utnyttjande som gjorts under säkerhetsforskning och som påverkar sårbarheter som redan har åtgärdats, men allt kommer att bero på hur termen "aktiva attacker" tolkas.
Till exempel faller publicering av JavaScript-kod i någon form av källtext som attackerar en webbläsare under detta kriterium - ingenting hindrar angriparen från att ladda ner källkoden till offrets webbläsare med hjälp av hämtning, automatiskt patcha den om exploateringsprototypen publiceras i en inoperabel form , och köra den. På samma sätt med vilken annan kod som helst, till exempel i C++ - ingenting hindrar dig från att kompilera den på den attackerade maskinen och exekvera den. Om ett arkiv med liknande kod upptäcks är det planerat att inte ta bort det, utan att blockera åtkomst till det.
- Avsnittet som förbjuder "spam", fusk, deltagande på fuskmarknaden, program för att bryta mot reglerna på någon webbplats, nätfiske och dess försök har flyttats högre upp i texten.
- En paragraf har lagts till som förklarar möjligheten att överklaga vid oenighet om blockeringen.
- Ett krav har lagts till för ägare av arkiv som är värd för potentiellt farligt innehåll som en del av säkerhetsforskning. Förekomsten av sådant innehåll måste uttryckligen nämnas i början av filen README.md och kontaktinformation måste anges i filen SECURITY.md. Det sägs att GitHub generellt sett inte tar bort exploateringar som publicerats tillsammans med säkerhetsforskning för redan avslöjade sårbarheter (inte 0-dagar), men förbehåller sig möjligheten att begränsa åtkomsten om den anser att det finns en risk för att dessa utnyttjanden används för riktiga attacker och i tjänsten GitHub har support fått klagomål på att koden används för attacker.
Källa: opennet.ru