GitHub imechapisha mabadiliko ya sera ambayo yanaangazia sera kuhusu uchapishaji wa matumizi mabaya na utafiti wa programu hasidi, pamoja na kutii Sheria ya Milenia ya Hakimiliki Dijiti ya Marekani (DMCA). Mabadiliko bado yako katika hali ya rasimu, yanapatikana kwa majadiliano ndani ya siku 30.
Kando na katazo lililopo hapo awali la kusambaza na kuhakikisha usakinishaji au uwasilishaji wa programu hasidi inayotumika na utendakazi, masharti yafuatayo yameongezwa kwa sheria za utiifu za DMCA:
- Marufuku ya wazi ya kuweka katika hifadhi ya teknolojia kwa kupitisha njia za kiufundi za ulinzi wa hakimiliki, ikiwa ni pamoja na funguo za leseni, pamoja na programu za kuzalisha funguo, kupitisha uthibitishaji muhimu na kupanua muda wa bure wa kazi.
- Utaratibu wa kuwasilisha ombi la kuondoa msimbo kama huo unaletwa. Mwombaji wa kufutwa anahitajika kutoa maelezo ya kiufundi, kwa nia iliyotangaza kuwasilisha maombi ya uchunguzi kabla ya kuzuia.
- Wakati hazina imezuiwa, wanaahidi kutoa uwezo wa kusafirisha masuala na PRs, na kutoa huduma za kisheria.
Mabadiliko ya matumizi makubwa na sheria za programu hasidi hushughulikia ukosoaji uliokuja baada ya Microsoft kuondoa unyonyaji wa Microsoft Exchange uliotumiwa kuzindua mashambulizi. Sheria mpya zinajaribu kutenganisha kwa uwazi maudhui hatari yanayotumiwa kwa mashambulizi yanayoendelea kutoka kwa msimbo unaoauni utafiti wa usalama. Mabadiliko yaliyofanywa:
- Hairuhusiwi sio tu kushambulia watumiaji wa GitHub kwa kuchapisha yaliyomo na ushujaa juu yake au kutumia GitHub kama njia ya kupeana ushujaa, kama ilivyokuwa hapo awali, lakini pia kuchapisha nambari mbaya na unyonyaji unaoambatana na mashambulio yanayotumika. Kwa ujumla, hairuhusiwi kuchapisha mifano ya ushujaa uliotayarishwa wakati wa utafiti wa usalama na kuathiri udhaifu ambao tayari umewekwa, lakini kila kitu kitategemea jinsi neno "mashambulizi yanayoendelea" yanavyofasiriwa.
Kwa mfano, kuchapisha msimbo wa JavaScript katika aina yoyote ya maandishi chanzo ambayo hushambulia kivinjari huwa chini ya kigezo hiki - hakuna kinachomzuia mvamizi kupakua msimbo wa chanzo kwenye kivinjari cha mwathiriwa kwa kutumia kuchota, akibandika kiotomatiki ikiwa mfano wa unyonyaji utachapishwa kwa njia isiyoweza kufanya kazi. , na kuitekeleza. Vile vile na nambari nyingine yoyote, kwa mfano katika C ++ - hakuna kitu kinachokuzuia kuikusanya kwenye mashine iliyoshambuliwa na kuitekeleza. Ikiwa hazina iliyo na nambari inayofanana imegunduliwa, imepangwa sio kuifuta, lakini kuzuia ufikiaji wake.
- Sehemu inayokataza "spam", kudanganya, kushiriki katika soko la kudanganya, mipango ya kukiuka sheria za tovuti yoyote, ulaghai na majaribio yake yamehamishwa juu katika maandishi.
- Aya imeongezwa inayoelezea uwezekano wa kuwasilisha rufaa katika kesi ya kutokubaliana na kuzuia.
- Sharti limeongezwa kwa wamiliki wa hazina zinazopangisha maudhui yanayoweza kuwa hatari kama sehemu ya utafiti wa usalama. Uwepo wa maudhui kama haya lazima utajwe kwa uwazi mwanzoni mwa faili ya README.md, na taarifa ya mawasiliano lazima itolewe katika faili ya SECURITY.md. Imeelezwa kuwa kwa ujumla GitHub haiondoi ushujaa uliochapishwa pamoja na utafiti wa usalama kwa udhaifu ambao tayari umefichuliwa (sio siku 0), lakini inahifadhi fursa ya kuzuia ufikiaji ikiwa inazingatia kuwa bado kuna hatari ya unyonyaji huu kutumika kwa shambulio la kweli. na katika huduma msaada wa GitHub umepokea malalamiko kuhusu msimbo unaotumiwa kwa mashambulizi.
Chanzo: opennet.ru