โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > GitHub กระชับกฎเกณฑ์ในการโพสต์การวิจัยด้านความปลอดภัย

GitHub กระชับกฎเกณฑ์ในการโพสต์การวิจัยด้านความปลอดภัย

GitHub ได้เผยแพร่การเปลี่ยนแปลงนโยบายที่ระบุนโยบายเกี่ยวกับการโพสต์การหาประโยชน์และการวิจัยมัลแวร์ รวมถึงการปฏิบัติตามกฎหมาย Digital Millennium Copyright Act (DMCA) ของสหรัฐอเมริกา การเปลี่ยนแปลงยังอยู่ในสถานะร่าง พร้อมให้หารือภายใน 30 วัน

นอกเหนือจากข้อห้ามในปัจจุบันในการเผยแพร่และรับรองการติดตั้งหรือการส่งมอบมัลแวร์และช่องโหว่ที่ใช้งานอยู่ ข้อกำหนดต่อไปนี้ได้ถูกเพิ่มเข้าไปในกฎการปฏิบัติตาม DMCA:

  • ข้อห้ามอย่างชัดเจนในการวางเทคโนโลยีพื้นที่เก็บข้อมูลเพื่อเลี่ยงผ่านวิธีการทางเทคนิคในการคุ้มครองลิขสิทธิ์ รวมถึงรหัสลิขสิทธิ์ตลอดจนโปรแกรมสำหรับสร้างรหัส เลี่ยงการตรวจสอบรหัส และขยายระยะเวลาการทำงานฟรี
  • กำลังมีการแนะนำขั้นตอนการยื่นคำขอเพื่อลบรหัสดังกล่าว ผู้ยื่นคำขอลบจะต้องให้รายละเอียดทางเทคนิคพร้อมประกาศเจตนารมณ์ในการยื่นคำขอเพื่อตรวจสอบก่อนที่จะทำการบล็อก
  • เมื่อพื้นที่เก็บข้อมูลถูกบล็อก พวกเขาสัญญาว่าจะให้ความสามารถในการส่งออกปัญหาและการประชาสัมพันธ์ และเสนอบริการด้านกฎหมาย

การเปลี่ยนแปลงกฎช่องโหว่และมัลแวร์แก้ไขข้อวิพากษ์วิจารณ์ที่เกิดขึ้นหลังจากที่ Microsoft ลบช่องโหว่ Microsoft Exchange ต้นแบบที่ใช้ในการโจมตี กฎใหม่พยายามแยกเนื้อหาอันตรายที่ใช้สำหรับการโจมตีที่ใช้งานอยู่ออกจากโค้ดที่สนับสนุนการวิจัยด้านความปลอดภัยอย่างชัดเจน การเปลี่ยนแปลงที่ทำ:

  • ห้ามมิให้โจมตีผู้ใช้ GitHub โดยการโพสต์เนื้อหาที่มีช่องโหว่ หรือใช้ GitHub เป็นวิธีการส่งช่องโหว่ดังที่เคยเป็นมา แต่ยังรวมถึงการโพสต์โค้ดที่เป็นอันตรายและช่องโหว่ที่มาพร้อมกับการโจมตีที่ใช้งานอยู่ด้วย โดยทั่วไป ไม่อนุญาตให้โพสต์ตัวอย่างการหาประโยชน์ที่เตรียมไว้ระหว่างการวิจัยด้านความปลอดภัยและส่งผลกระทบต่อช่องโหว่ที่ได้รับการแก้ไขแล้ว แต่ทุกอย่างจะขึ้นอยู่กับวิธีการตีความคำว่า "การโจมตีที่ใช้งานอยู่"

    ตัวอย่างเช่น การเผยแพร่โค้ด JavaScript ในรูปแบบข้อความต้นฉบับใดๆ ที่โจมตีเบราว์เซอร์จะอยู่ภายใต้เกณฑ์นี้ - ไม่มีอะไรป้องกันผู้โจมตีจากการดาวน์โหลดซอร์สโค้ดลงในเบราว์เซอร์ของเหยื่อโดยใช้การดึงข้อมูล โดยจะทำการแพตช์โดยอัตโนมัติหากต้นแบบการหาประโยชน์ถูกเผยแพร่ในรูปแบบที่ไม่สามารถใช้งานได้ และดำเนินการมัน เช่นเดียวกับโค้ดอื่นๆ เช่น ในภาษา C++ ไม่มีอะไรขัดขวางคุณจากการคอมไพล์มันบนเครื่องที่ถูกโจมตีและดำเนินการมัน หากค้นพบที่เก็บที่มีรหัสคล้ายกัน จะมีการวางแผนว่าจะไม่ลบมัน แต่จะบล็อกการเข้าถึงมัน

  • ส่วนที่ห้าม "สแปม" การโกง การมีส่วนร่วมในตลาดการโกง โปรแกรมสำหรับการละเมิดกฎของไซต์ใด ๆ ฟิชชิ่งและความพยายามได้ถูกย้ายให้สูงขึ้นในข้อความ
  • มีการเพิ่มย่อหน้าเพื่ออธิบายความเป็นไปได้ในการยื่นอุทธรณ์ในกรณีที่ไม่เห็นด้วยกับการบล็อก
  • มีการเพิ่มข้อกำหนดสำหรับเจ้าของพื้นที่เก็บข้อมูลที่โฮสต์เนื้อหาที่อาจเป็นอันตรายโดยเป็นส่วนหนึ่งของการวิจัยด้านความปลอดภัย การมีอยู่ของเนื้อหาดังกล่าวจะต้องระบุไว้อย่างชัดเจนที่ตอนต้นของไฟล์ README.md และต้องระบุข้อมูลการติดต่อในไฟล์ SECURITY.md มีการระบุว่าโดยทั่วไป GitHub จะไม่ลบช่องโหว่ที่เผยแพร่พร้อมกับการวิจัยด้านความปลอดภัยสำหรับช่องโหว่ที่เปิดเผยแล้ว (ไม่ใช่ 0 วัน) แต่ขอสงวนสิทธิ์ในการจำกัดการเข้าถึงหากพิจารณาว่ายังคงมีความเสี่ยงที่ช่องโหว่เหล่านี้จะถูกใช้สำหรับการโจมตีจริง และในบริการสนับสนุน GitHub ได้รับการร้องเรียนเกี่ยวกับโค้ดที่ใช้สำหรับการโจมตี

ที่มา: opennet.ru

เพิ่มความคิดเห็น