GitHub, açıklardan yararlanma ve kötü amaçlı yazılım araştırmalarının yayınlanmasına ilişkin politikaların yanı sıra ABD Dijital Binyıl Telif Hakkı Yasası (DMCA) ile uyumluluğa ilişkin politikaların ana hatlarını çizen politika değişiklikleri yayınladı. Değişiklikler hâlâ taslak halindedir ve 30 gün içinde tartışılmaya hazırdır.
Aktif kötü amaçlı yazılımların ve açıklardan yararlanmaların dağıtımı ve kurulumunun sağlanması veya teslim edilmesi konusunda daha önce mevcut olan yasağa ek olarak, DMCA uyumluluk kurallarına aşağıdaki şartlar eklenmiştir:
- Lisans anahtarları dahil olmak üzere telif hakkı korumasının teknik araçlarının yanı sıra anahtar oluşturma programları, anahtar doğrulamayı atlamak ve ücretsiz çalışma süresini uzatmak için depo teknolojilerinin yerleştirilmesinin açık bir şekilde yasaklanması.
- Böyle bir kodu kaldırmak için başvuruda bulunmaya yönelik bir prosedür getiriliyor. Silme başvurusunda bulunan kişinin, engelleme öncesinde başvuruyu incelemeye sunma niyetini beyan ederek teknik ayrıntıları sağlaması gerekir.
- Depo engellendiğinde, sorunları ve PR'leri dışa aktarma ve yasal hizmetler sunma olanağı sağlamayı vaat ediyorlar.
Açıklardan yararlanma ve kötü amaçlı yazılım kurallarında yapılan değişiklikler, Microsoft'un saldırıları başlatmak için kullanılan Microsoft Exchange açıklarından yararlanma prototipini kaldırmasının ardından gelen eleştirilere yanıt veriyor. Yeni kurallar, aktif saldırılar için kullanılan tehlikeli içeriği, güvenlik araştırmasını destekleyen koddan açıkça ayırmaya çalışıyor. Değişiklikler yapıldı:
- Daha önce olduğu gibi, yalnızca GitHub kullanıcılarına, açıklardan yararlanan içerik yayınlayarak saldırmak veya GitHub'u açıklardan yararlanma aracı olarak kullanmak değil, aynı zamanda aktif saldırılara eşlik eden kötü amaçlı kod ve açıklardan yararlanmaları yayınlamak da yasaktır. Genel olarak, güvenlik araştırması sırasında hazırlanan ve halihazırda düzeltilmiş güvenlik açıklarını etkileyen istismar örneklerinin yayınlanması yasak değildir, ancak her şey "aktif saldırılar" teriminin nasıl yorumlandığına bağlı olacaktır.
Örneğin, bir tarayıcıya saldıran herhangi bir kaynak metin biçiminde JavaScript kodu yayınlamak bu kriterin kapsamına girer - hiçbir şey saldırganın kaynak kodunu kurbanın tarayıcısına fetch kullanarak indirmesini, istismar prototipinin çalışmaz bir biçimde yayınlanması durumunda otomatik olarak yama uygulamasını engellemez. ve onu yürütmek. Diğer herhangi bir koda benzer şekilde, örneğin C++'da, onu saldırıya uğrayan makinede derlemenizi ve çalıştırmanızı hiçbir şey engellemez. Benzer koda sahip bir deponun bulunması durumunda silinmesi değil, erişimin engellenmesi planlanıyor.
- "Spam", hile, hile pazarına katılım, herhangi bir sitenin kurallarını ihlal eden programlar, kimlik avı ve bunun girişimlerini yasaklayan bölüm metinde daha yukarılara taşındı.
- Engellemeye itiraz edilmesi durumunda itirazda bulunulması olasılığını açıklayan bir paragraf eklendi.
- Güvenlik araştırmasının bir parçası olarak potansiyel olarak tehlikeli içerik barındıran veri havuzlarının sahipleri için bir gereksinim eklendi. Bu tür içeriğin varlığı README.md dosyasının başında açıkça belirtilmeli ve SECURITY.md dosyasında iletişim bilgileri sağlanmalıdır. Genel olarak GitHub'ın, halihazırda açıklanan güvenlik açıkları için (0 günlük değil) güvenlik araştırması ile birlikte yayınlanan istismarları kaldırmadığı, ancak bu istismarların gerçek saldırılar için kullanılma riskinin devam ettiğini düşünmesi halinde erişimi kısıtlama fırsatını saklı tuttuğu belirtiliyor. ve hizmette GitHub desteği, saldırılarda kullanılan kodla ilgili şikayetler aldı.
Kaynak: opennet.ru