پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > GitHub سیکورٹی ریسرچ پوسٹ کرنے کے ارد گرد قوانین کو سخت کرتا ہے

GitHub سیکورٹی ریسرچ پوسٹ کرنے کے ارد گرد قوانین کو سخت کرتا ہے

GitHub نے پالیسی کی تبدیلیاں شائع کی ہیں جو استحصال اور مالویئر ریسرچ کی پوسٹنگ کے ساتھ ساتھ US Digital Millennium Copyright Act (DMCA) کی تعمیل سے متعلق پالیسیوں کا خاکہ پیش کرتی ہیں۔ تبدیلیاں ابھی بھی مسودہ کی حیثیت میں ہیں، 30 دنوں کے اندر بحث کے لیے دستیاب ہیں۔

فعال میلویئر اور استحصال کی تقسیم اور تنصیب یا فراہمی کو یقینی بنانے پر پہلے موجود ممانعت کے علاوہ، DMCA کے تعمیل کے قوانین میں درج ذیل شرائط شامل کی گئی ہیں:

  • کاپی رائٹ کے تحفظ کے تکنیکی ذرائع کو نظرانداز کرنے کے لیے ریپوزٹری ٹیکنالوجیز میں رکھنے کی صریح ممانعت، بشمول لائسنس کیز، نیز چابیاں تیار کرنے کے پروگرام، کلیدی تصدیق کو نظرانداز کرنے اور کام کی مفت مدت میں توسیع۔
  • ایسے کوڈ کو ہٹانے کے لیے درخواست دائر کرنے کا طریقہ کار متعارف کرایا جا رہا ہے۔ حذف کرنے کے لیے درخواست دہندہ کو تکنیکی تفصیلات فراہم کرنے کی ضرورت ہے، بلاک کرنے سے قبل امتحان کے لیے درخواست جمع کرانے کے اعلان کردہ ارادے کے ساتھ۔
  • جب ریپوزٹری بلاک ہو جاتی ہے، تو وہ ایشوز اور PR برآمد کرنے کی صلاحیت فراہم کرنے اور قانونی خدمات پیش کرنے کا وعدہ کرتے ہیں۔

استحصال اور مالویئر کے قوانین میں تبدیلیاں اس تنقید کا ازالہ کرتی ہیں جو مائیکروسافٹ کی جانب سے حملوں کو شروع کرنے کے لیے استعمال ہونے والے مائیکروسافٹ ایکسچینج استحصال کو ہٹانے کے بعد سامنے آئیں۔ نئے قواعد واضح طور پر فعال حملوں کے لیے استعمال ہونے والے خطرناک مواد کو کوڈ سے الگ کرنے کی کوشش کرتے ہیں جو سیکیورٹی ریسرچ کو سپورٹ کرتا ہے۔ کی گئی تبدیلیاں:

  • نہ صرف GitHub کے صارفین پر استحصال کے ساتھ مواد پوسٹ کرکے حملہ کرنا یا GitHub کو استحصال فراہم کرنے کے ایک ذریعہ کے طور پر استعمال کرنا، جیسا کہ پہلے ہوتا تھا، بلکہ بدنیتی پر مبنی کوڈ اور استحصال کو پوسٹ کرنا بھی ممنوع ہے جو فعال حملوں کے ساتھ ہوتے ہیں۔ عام طور پر، حفاظتی تحقیق کے دوران تیار کیے گئے کارناموں کی مثالیں پوسٹ کرنا اور ان کمزوریوں کو متاثر کرنے کی ممانعت نہیں ہے جو پہلے ہی طے کی جاچکی ہیں، لیکن سب کچھ اس بات پر منحصر ہوگا کہ "فعال حملوں" کی اصطلاح کی تشریح کیسے کی جاتی ہے۔

    مثال کے طور پر، جاوا اسکرپٹ کوڈ کو سورس ٹیکسٹ کی کسی بھی شکل میں شائع کرنا جو براؤزر پر حملہ کرتا ہے اس معیار کے تحت آتا ہے - حملہ آور کو بازیافت کا استعمال کرتے ہوئے متاثرہ کے براؤزر میں سورس کوڈ ڈاؤن لوڈ کرنے سے نہیں روکتا، اگر ایکسپلائٹ پروٹو ٹائپ ناقابل عمل شکل میں شائع ہوتا ہے تو اسے خود بخود پیچ ​​کر دیتا ہے۔ ، اور اس پر عمل درآمد کرنا۔ اسی طرح کسی دوسرے کوڈ کے ساتھ، مثال کے طور پر C++ میں - کوئی بھی چیز آپ کو حملہ شدہ مشین پر مرتب کرنے اور اس پر عمل کرنے سے نہیں روکتی ہے۔ اگر اسی طرح کے کوڈ کے ساتھ کوئی ذخیرہ دریافت ہوتا ہے، تو اسے حذف کرنے کا نہیں بلکہ اس تک رسائی کو روکنے کا منصوبہ بنایا گیا ہے۔

  • "سپیم"، دھوکہ دہی، دھوکہ دہی کے بازار میں شرکت، کسی بھی سائٹ کے قوانین کی خلاف ورزی کرنے کے پروگرام، فشنگ اور اس کی کوششوں کو ممنوع کرنے والے سیکشن کو متن میں اوپر منتقل کیا گیا ہے۔
  • بلاکنگ سے اختلاف کی صورت میں اپیل دائر کرنے کے امکان کی وضاحت کرتے ہوئے ایک پیراگراف شامل کیا گیا ہے۔
  • حفاظتی تحقیق کے حصے کے طور پر ممکنہ طور پر خطرناک مواد کی میزبانی کرنے والے ذخیروں کے مالکان کے لیے ایک ضرورت شامل کی گئی ہے۔ ایسے مواد کی موجودگی کا README.md فائل کے شروع میں واضح طور پر ذکر ہونا چاہیے، اور SECURITY.md فائل میں رابطے کی معلومات فراہم کی جانی چاہیے۔ یہ کہا گیا ہے کہ عام طور پر GitHub پہلے سے ظاہر شدہ کمزوریوں (0 دن کی نہیں) کے لیے سیکیورٹی ریسرچ کے ساتھ شائع ہونے والے کارناموں کو نہیں ہٹاتا ہے، لیکن اگر یہ سمجھتا ہے کہ ان کارناموں کو حقیقی حملوں کے لیے استعمال کیے جانے کا خطرہ باقی ہے تو رسائی کو محدود کرنے کا موقع محفوظ رکھتا ہے۔ اور سروس میں GitHub سپورٹ کو حملوں کے لیے استعمال کیے جانے والے کوڈ کے بارے میں شکایات موصول ہوئی ہیں۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں