புரோஹோஸ்டர் > Блог > இணைய செய்தி > GitHub பாதுகாப்பு ஆராய்ச்சியை இடுகையிடுவதற்கான விதிகளை கடுமையாக்குகிறது

GitHub பாதுகாப்பு ஆராய்ச்சியை இடுகையிடுவதற்கான விதிகளை கடுமையாக்குகிறது

GitHub சுரண்டல்கள் மற்றும் மால்வேர் ஆராய்ச்சிகளை இடுகையிடுவது தொடர்பான கொள்கைகளை கோடிட்டுக் காட்டும் கொள்கை மாற்றங்களை வெளியிட்டுள்ளது, அத்துடன் US Digital Millennium Copyright Act (DMCA) உடன் இணங்குகிறது. மாற்றங்கள் இன்னும் வரைவு நிலையில் உள்ளன, 30 நாட்களுக்குள் விவாதத்திற்குக் கிடைக்கும்.

செயலில் உள்ள மால்வேர் மற்றும் சுரண்டல்களை நிறுவுதல் அல்லது வழங்குதல் ஆகியவற்றை விநியோகிப்பதற்கும் உறுதி செய்வதற்கும் முன்பு இருந்த தடைக்கு கூடுதலாக, DMCA இணக்க விதிகளில் பின்வரும் விதிமுறைகள் சேர்க்கப்பட்டுள்ளன:

  • உரிம விசைகள், அத்துடன் விசைகளை உருவாக்குவதற்கான திட்டங்கள், விசை சரிபார்ப்பைத் தவிர்ப்பது மற்றும் வேலையின் இலவச காலத்தை நீட்டித்தல் உள்ளிட்ட பதிப்புரிமைப் பாதுகாப்பின் தொழில்நுட்ப வழிமுறைகளைத் தவிர்ப்பதற்கான களஞ்சிய தொழில்நுட்பங்களை வைப்பதை வெளிப்படையாகத் தடை செய்தல்.
  • அத்தகைய குறியீட்டை நீக்க விண்ணப்பத்தை தாக்கல் செய்வதற்கான நடைமுறை அறிமுகப்படுத்தப்படுகிறது. நீக்குவதற்கான விண்ணப்பதாரர் தொழில்நுட்ப விவரங்களை வழங்க வேண்டும், தடுப்பதற்கு முன் தேர்வுக்கான விண்ணப்பத்தை சமர்ப்பிக்க வேண்டும்.
  • களஞ்சியம் தடுக்கப்பட்டால், சிக்கல்கள் மற்றும் PRகளை ஏற்றுமதி செய்வதற்கான திறனை வழங்குவதாகவும், சட்ட சேவைகளை வழங்குவதாகவும் உறுதியளிக்கிறார்கள்.

சுரண்டல்கள் மற்றும் தீம்பொருள் விதிகளில் மாற்றங்கள் மைக்ரோசாப்ட் தாக்குதல்களைத் தொடங்கப் பயன்படுத்தப்படும் மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சுரண்டலின் முன்மாதிரியை அகற்றிய பிறகு வந்த விமர்சனங்களை நிவர்த்தி செய்கின்றன. பாதுகாப்பு ஆராய்ச்சியை ஆதரிக்கும் குறியீட்டிலிருந்து செயலில் தாக்குதல்களுக்குப் பயன்படுத்தப்படும் ஆபத்தான உள்ளடக்கத்தை வெளிப்படையாகப் பிரிக்க புதிய விதிகள் முயற்சி செய்கின்றன. செய்யப்பட்ட மாற்றங்கள்:

  • GitHub பயனர்களை சுரண்டல்களுடன் உள்ளடக்கத்தை இடுகையிடுவதன் மூலம் தாக்குவது அல்லது GitHub சுரண்டல்களை வழங்குவதற்கான வழிமுறையாகப் பயன்படுத்துவது மட்டுமல்லாமல், முன்பு இருந்தது போல், தீங்கிழைக்கும் குறியீடு மற்றும் செயலில் உள்ள தாக்குதல்களுடன் சுரண்டல்களை இடுகையிடுவதும் தடைசெய்யப்பட்டுள்ளது. பொதுவாக, பாதுகாப்பு ஆராய்ச்சியின் போது தயாரிக்கப்பட்ட சுரண்டல்களின் எடுத்துக்காட்டுகளை இடுகையிடுவது தடைசெய்யப்படவில்லை மற்றும் ஏற்கனவே சரி செய்யப்பட்ட பாதிப்புகளை பாதிக்கும், ஆனால் அனைத்தும் "செயலில் தாக்குதல்கள்" என்ற சொல் எவ்வாறு விளக்கப்படுகிறது என்பதைப் பொறுத்தது.

    எடுத்துக்காட்டாக, உலாவியைத் தாக்கும் எந்த வகையான மூல உரையிலும் ஜாவாஸ்கிரிப்ட் குறியீட்டை வெளியிடுவது இந்த அளவுகோலின் கீழ் வரும் - தாக்குதலைப் பயன்படுத்தி பாதிக்கப்பட்டவரின் உலாவியில் மூலக் குறியீட்டைப் பதிவிறக்குவதை எதுவும் தடுக்காது, சுரண்டல் முன்மாதிரி செயல்படாத வடிவத்தில் வெளியிடப்பட்டால் தானாகவே அதை ஒட்டுகிறது. , மற்றும் அதை செயல்படுத்துதல். இதேபோல் வேறு எந்த குறியீட்டிலும், எடுத்துக்காட்டாக C++ இல் - தாக்கப்பட்ட கணினியில் தொகுத்து அதைச் செயல்படுத்துவதை எதுவும் தடுக்காது. இதேபோன்ற குறியீட்டைக் கொண்ட ஒரு களஞ்சியம் கண்டுபிடிக்கப்பட்டால், அதை நீக்காமல், அதற்கான அணுகலைத் தடுக்க திட்டமிடப்பட்டுள்ளது.

  • "ஸ்பேம்", ஏமாற்றுதல், ஏமாற்றுதல் சந்தையில் பங்கேற்பது, ஏதேனும் தளங்களின் விதிகளை மீறும் திட்டங்கள், ஃபிஷிங் மற்றும் அதன் முயற்சிகளை தடைசெய்யும் பிரிவு உரையில் அதிகமாக நகர்த்தப்பட்டுள்ளது.
  • தடுப்பதில் கருத்து வேறுபாடு ஏற்பட்டால் மேல்முறையீடு செய்வதற்கான சாத்தியத்தை விளக்கும் ஒரு பத்தி சேர்க்கப்பட்டுள்ளது.
  • பாதுகாப்பு ஆராய்ச்சியின் ஒரு பகுதியாக அபாயகரமான உள்ளடக்கத்தை ஹோஸ்ட் செய்யும் களஞ்சியங்களின் உரிமையாளர்களுக்கான தேவை சேர்க்கப்பட்டுள்ளது. அத்தகைய உள்ளடக்கத்தின் இருப்பு README.md கோப்பின் தொடக்கத்தில் வெளிப்படையாகக் குறிப்பிடப்பட வேண்டும், மேலும் தொடர்புத் தகவல் SECURITY.md கோப்பில் வழங்கப்பட வேண்டும். பொதுவாக GitHub ஏற்கனவே வெளிப்படுத்தப்பட்ட பாதிப்புகளுக்கு (0-நாள் அல்ல) பாதுகாப்பு ஆராய்ச்சியுடன் வெளியிடப்பட்ட சுரண்டல்களை அகற்றாது, ஆனால் உண்மையான தாக்குதல்களுக்கு இந்தச் சுரண்டல்கள் பயன்படுத்தப்படும் அபாயம் இருப்பதாகக் கருதினால், அணுகலைக் கட்டுப்படுத்தும் வாய்ப்பை அது கொண்டுள்ளது. மற்றும் சேவையில் GitHub ஆதரவு தாக்குதல்களுக்கு பயன்படுத்தப்படும் குறியீடு பற்றிய புகார்களைப் பெற்றுள்ளது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்