Nag-publish ang GitHub ng mga pagbabago sa patakaran na nagbabalangkas ng mga patakaran tungkol sa pag-post ng mga pagsasamantala at pananaliksik sa malware, pati na rin ang pagsunod sa US Digital Millennium Copyright Act (DMCA). Ang mga pagbabago ay nasa draft status pa rin, magagamit para sa talakayan sa loob ng 30 araw.
Bilang karagdagan sa dati nang kasalukuyang pagbabawal sa pamamahagi at pagtiyak sa pag-install o paghahatid ng aktibong malware at mga pagsasamantala, ang mga sumusunod na tuntunin ay idinagdag sa mga panuntunan sa pagsunod sa DMCA:
- Ang tahasang pagbabawal sa paglalagay sa mga teknolohiya ng repositoryo para sa pag-bypass ng mga teknikal na paraan ng proteksyon ng copyright, kabilang ang mga susi ng lisensya, pati na rin ang mga programa para sa pagbuo ng mga susi, pag-bypass sa pag-verify ng key at pagpapahaba ng libreng panahon ng trabaho.
- Ang isang pamamaraan para sa paghahain ng aplikasyon upang alisin ang naturang code ay ipinakilala. Ang aplikante para sa pagtanggal ay kinakailangang magbigay ng mga teknikal na detalye, na may ipinahayag na intensyon na isumite ang aplikasyon para sa pagsusuri bago ang pagharang.
- Kapag na-block ang repository, nangangako silang magbibigay ng kakayahang mag-export ng mga isyu at PR, at mag-alok ng mga serbisyong legal.
Ang mga pagbabago sa mga pagsasamantala at mga panuntunan sa malware ay tumutugon sa mga pagpuna na dumating pagkatapos na alisin ng Microsoft ang isang prototype na pagsasamantala ng Microsoft Exchange na ginamit upang maglunsad ng mga pag-atake. Sinusubukan ng mga bagong panuntunan na tahasang paghiwalayin ang mapanganib na nilalamang ginagamit para sa mga aktibong pag-atake mula sa code na sumusuporta sa pananaliksik sa seguridad. Mga pagbabagong ginawa:
- Ipinagbabawal hindi lamang ang pag-atake sa mga gumagamit ng GitHub sa pamamagitan ng pag-post ng nilalaman na may mga pagsasamantala dito o ang paggamit ng GitHub bilang isang paraan ng paghahatid ng mga pagsasamantala, tulad ng nangyari noon, ngunit pati na rin ang pag-post ng malisyosong code at mga pagsasamantala na kasama ng mga aktibong pag-atake. Sa pangkalahatan, hindi ipinagbabawal na mag-post ng mga halimbawa ng mga pagsasamantala na inihanda sa panahon ng pananaliksik sa seguridad at nakakaapekto sa mga kahinaan na naayos na, ngunit ang lahat ay depende sa kung paano binibigyang-kahulugan ang terminong "aktibong pag-atake".
Halimbawa, ang pag-publish ng JavaScript code sa anumang anyo ng source text na umaatake sa isang browser ay nasa ilalim ng criterion na ito - walang pumipigil sa attacker na i-download ang source code sa browser ng biktima gamit ang fetch, awtomatikong tina-patch ito kung ang exploit na prototype ay nai-publish sa isang inoperable form , at pagsasagawa nito. Katulad din sa anumang iba pang code, halimbawa sa C++ - walang pumipigil sa iyo na i-compile ito sa inatakeng makina at isagawa ito. Kung ang isang repositoryo na may katulad na code ay natuklasan, ito ay binalak na hindi tanggalin ito, ngunit upang harangan ang pag-access dito.
- Ang seksyon na nagbabawal sa "spam", pagdaraya, pakikilahok sa cheating market, mga programa para sa paglabag sa mga patakaran ng anumang mga site, phishing at mga pagtatangka nito ay inilipat nang mas mataas sa teksto.
- May idinagdag na talata na nagpapaliwanag sa posibilidad ng paghahain ng apela kung sakaling hindi sumang-ayon sa pagharang.
- Ang isang kinakailangan ay idinagdag para sa mga may-ari ng mga repositoryo na nagho-host ng potensyal na mapanganib na nilalaman bilang bahagi ng pananaliksik sa seguridad. Ang pagkakaroon ng naturang nilalaman ay dapat na tahasang binanggit sa simula ng README.md file, at ang impormasyon sa pakikipag-ugnayan ay dapat ibigay sa SECURITY.md file. Isinasaad na sa pangkalahatan ay hindi inaalis ng GitHub ang mga pagsasamantalang nai-publish kasama ng pananaliksik sa seguridad para sa mga nahayag nang kahinaan (hindi 0-araw), ngunit inilalaan ang pagkakataong higpitan ang pag-access kung isinasaalang-alang nito na nananatiling may panganib na ang mga pagsasamantalang ito ay ginagamit para sa mga tunay na pag-atake at sa serbisyo ang suporta ng GitHub ay nakatanggap ng mga reklamo tungkol sa code na ginagamit para sa mga pag-atake.
Pinagmulan: opennet.ru