GitHub విధాన మార్పులను ప్రచురించింది, ఇది దోపిడీలు మరియు మాల్వేర్ పరిశోధనల పోస్ట్లకు సంబంధించిన విధానాలను, అలాగే US డిజిటల్ మిలీనియం కాపీరైట్ చట్టం (DMCA)కి అనుగుణంగా ఉంటుంది. మార్పులు ఇప్పటికీ డ్రాఫ్ట్ స్టేటస్లో ఉన్నాయి, 30 రోజుల్లో చర్చకు అందుబాటులో ఉన్నాయి.
క్రియాశీల మాల్వేర్ మరియు దోపిడీల యొక్క ఇన్స్టాలేషన్ లేదా డెలివరీని పంపిణీ చేయడం మరియు నిర్ధారించడంపై గతంలో ఉన్న నిషేధానికి అదనంగా, క్రింది నిబంధనలు DMCA సమ్మతి నియమాలకు జోడించబడ్డాయి:
- లైసెన్స్ కీలు, అలాగే కీలను రూపొందించే ప్రోగ్రామ్లు, కీ వెరిఫికేషన్ను దాటవేయడం మరియు పని యొక్క ఉచిత వ్యవధిని పొడిగించడం వంటి వాటితో సహా కాపీరైట్ రక్షణ యొక్క సాంకేతిక మార్గాలను దాటవేయడం కోసం రిపోజిటరీ సాంకేతికతలను ఉంచడంపై స్పష్టమైన నిషేధం.
- అటువంటి కోడ్ను తీసివేయడానికి దరఖాస్తును ఫైల్ చేసే విధానం పరిచయం చేయబడుతోంది. తొలగింపు కోసం దరఖాస్తుదారు సాంకేతిక వివరాలను అందించాల్సి ఉంటుంది, నిరోధించడానికి ముందు పరీక్ష కోసం దరఖాస్తును సమర్పించాలనే ఉద్దేశ్యంతో.
- రిపోజిటరీ బ్లాక్ చేయబడినప్పుడు, వారు సమస్యలు మరియు PRలను ఎగుమతి చేసే సామర్థ్యాన్ని అందజేస్తామని మరియు న్యాయ సేవలను అందిస్తామని వాగ్దానం చేస్తారు.
దాడులను ప్రారంభించడానికి ఉపయోగించే మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ ఎక్స్ప్లోయిట్ను మైక్రోసాఫ్ట్ తొలగించిన తర్వాత వచ్చిన విమర్శలను దోపిడీలు మరియు మాల్వేర్ నియమాలకు మార్పులు సూచిస్తాయి. కొత్త నియమాలు భద్రతా పరిశోధనకు మద్దతు ఇచ్చే కోడ్ నుండి క్రియాశీల దాడుల కోసం ఉపయోగించే ప్రమాదకరమైన కంటెంట్ను స్పష్టంగా వేరు చేయడానికి ప్రయత్నిస్తాయి. చేసిన మార్పులు:
- GitHub వినియోగదారులపై దోపిడీతో కూడిన కంటెంట్ను పోస్ట్ చేయడం ద్వారా లేదా మునుపటి మాదిరిగానే దోపిడీలను అందించే సాధనంగా GitHubని ఉపయోగించడం ద్వారా దాడి చేయడం మాత్రమే కాకుండా, క్రియాశీల దాడులతో పాటు హానికరమైన కోడ్ మరియు దోపిడీలను పోస్ట్ చేయడం కూడా నిషేధించబడింది. సాధారణంగా, భద్రతా పరిశోధన సమయంలో సిద్ధం చేయబడిన దోపిడీల ఉదాహరణలను పోస్ట్ చేయడం నిషేధించబడదు మరియు ఇప్పటికే పరిష్కరించబడిన దుర్బలత్వాలను ప్రభావితం చేస్తుంది, అయితే ప్రతిదీ "యాక్టివ్ అటాక్స్" అనే పదాన్ని ఎలా అర్థం చేసుకోవాలి అనే దానిపై ఆధారపడి ఉంటుంది.
ఉదాహరణకు, బ్రౌజర్పై దాడి చేసే ఏ విధమైన సోర్స్ టెక్స్ట్లో అయినా జావాస్క్రిప్ట్ కోడ్ను ప్రచురించడం ఈ ప్రమాణం కిందకు వస్తుంది - దోపిడీ ప్రోటోటైప్ పనికిరాని రూపంలో ప్రచురించబడితే దాన్ని స్వయంచాలకంగా ప్యాచ్ చేయడం ద్వారా సోర్స్ కోడ్ని బాధితుడి బ్రౌజర్లో డౌన్లోడ్ చేయకుండా దాడి చేసే వ్యక్తిని ఏమీ నిరోధించదు. , మరియు దానిని అమలు చేయడం. అదేవిధంగా ఏదైనా ఇతర కోడ్తో, ఉదాహరణకు C++లో - దాడి చేయబడిన మెషీన్లో కంపైల్ చేయకుండా మరియు దానిని అమలు చేయకుండా మిమ్మల్ని ఏదీ నిరోధించదు. సారూప్య కోడ్తో రిపోజిటరీ కనుగొనబడితే, దానిని తొలగించకూడదని ప్లాన్ చేయబడింది, కానీ దానికి యాక్సెస్ను బ్లాక్ చేయడానికి.
- "స్పామ్", మోసం, చీటింగ్ మార్కెట్లో పాల్గొనడం, ఏదైనా సైట్ల నియమాలను ఉల్లంఘించే ప్రోగ్రామ్లు, ఫిషింగ్ మరియు దాని ప్రయత్నాలను నిషేధించే విభాగం టెక్స్ట్లో ఎక్కువగా తరలించబడింది.
- బ్లాక్ చేయడంతో విభేదించిన సందర్భంలో అప్పీల్ను దాఖలు చేసే అవకాశాన్ని వివరిస్తూ ఒక పేరా జోడించబడింది.
- భద్రతా పరిశోధనలో భాగంగా సంభావ్య ప్రమాదకరమైన కంటెంట్ను హోస్ట్ చేసే రిపోజిటరీల యజమానులకు ఆవశ్యకత జోడించబడింది. అటువంటి కంటెంట్ ఉనికిని తప్పనిసరిగా README.md ఫైల్ ప్రారంభంలో స్పష్టంగా పేర్కొనాలి మరియు సంప్రదింపు సమాచారాన్ని తప్పనిసరిగా SECURITY.md ఫైల్లో అందించాలి. సాధారణంగా GitHub ఇప్పటికే బహిర్గతం చేయబడిన దుర్బలత్వాల (0-రోజులు కాదు) కోసం భద్రతా పరిశోధనతో పాటు ప్రచురించబడిన దోపిడీలను తీసివేయదు, అయితే ఈ దోపిడీలు నిజమైన దాడులకు ఉపయోగించబడే ప్రమాదం ఉందని భావిస్తే యాక్సెస్ని పరిమితం చేసే అవకాశాన్ని రిజర్వ్ చేస్తుంది. మరియు సేవలో GitHub మద్దతు దాడులకు ఉపయోగించే కోడ్ గురించి ఫిర్యాదులను అందుకుంది.
మూలం: opennet.ru