I-GitHub ipapashe iinguqu zomgaqo-nkqubo ezichaza imigaqo-nkqubo malunga nokuthunyelwa kwezinto zokuxhaphaza kunye nophando lwe-malware, kunye nokuthotyelwa kwe-US Digital Millennium Copyright Act (DMCA). Utshintsho lusekwimo eyidrafti, efumanekayo ukuba ixoxwe zingaphelanga iintsuku ezingama-30.
Ukongeza kwisithintelo sangaphambili sokusasaza kunye nokuqinisekisa ukufakwa okanye ukuhanjiswa kwe-malware esebenzayo kunye nokuxhaphaza, le migaqo ilandelayo yongezwe kwimithetho yokuthotyelwa ye-DMCA:
- Ukwalelwa okucacileyo kokubeka kuchwephesha wogcino lokugqitha iindlela zobugcisa zokhuseleko lwelungelo lokushicilela, kubandakanywa izitshixo zelayisenisi, kunye neenkqubo zokuvelisa izitshixo, ukudlula ukuqinisekiswa okungundoqo kunye nokwandisa ixesha lomsebenzi wamahhala.
- Inkqubo yokufaka isicelo sokususa ikhowudi enjalo iyaziswa. Umfaki-sicelo wokucima kufuneka anike iinkcukacha zobugcisa, ngenjongo ebhengeziweyo yokungenisa isicelo soviwo phambi kokuvalwa.
- Xa i-repository ivaliwe, bathembisa ukubonelela ngekhono lokuthumela imiba kunye ne-PRs, kwaye banikele ngeenkonzo zomthetho.
Utshintsho kwizenzo kunye nemithetho ye-malware ijongana nokugxekwa okuza emva kokuba iMicrosoft isuse iMicrosoft Exchange exploit esetyenziselwa ukuqalisa uhlaselo. Imithetho emitsha izama ukwahlula ngokucacileyo umxholo onobungozi osetyenziselwa uhlaselo olusebenzayo olusuka kwikhowudi exhasa uphando lokhuseleko. Utshintsho olwenziwe:
- Akuvumelekanga ukuhlasela abasebenzisi be-GitHub kuphela ngokuthumela umxholo onokuxhatshazwa kuyo okanye ukusebenzisa i-GitHub njengendlela yokuhambisa izinto, njengoko kwakunjalo ngaphambili, kodwa kunye nokuthumela ikhowudi ekhohlakeleyo kunye nokuxhaphaza okuhamba nohlaselo olusebenzayo. Ngokubanzi, akunqatshelwe ukuthumela imizekelo yemisebenzi elungiselelwe ngexesha lophando lokhuseleko kunye nokuchaphazela ubuthathaka obusele bulungisiwe, kodwa yonke into iya kuxhomekeka kwindlela igama elithi "ukuhlaselwa okusebenzayo" lichazwa ngayo.
Umzekelo, ukupapasha ikhowudi yeJavaScript kulo naluphi na uhlobo lombhalo wemvelaphi ohlasela isikhangeli esiwela phantsi kwesi sithintelo-akukho nto ithintela umhlaseli ekukhupheni ikhowudi yemvelaphi kwibhrawuza yexhoba esebenzisa ukuchola, ukuyichwetheza ngokuzenzekelayo ukuba iprototype yokuxhaphaza ipapashwe kwifomu engasebenziyo. , kwaye yenze. Ngokufanayo nayo nayiphi na enye ikhowudi, umzekelo kwi-C ++ - akukho nto ikuthintela ukuba ungayiqulunqa kumatshini ohlaselweyo kwaye uwenze. Ukuba i-repository enekhowudi efanayo ifunyenwe, kucetywayo ukuba ungayicimi, kodwa ukuvimbela ukufikelela kuyo.
- Icandelo elivimbela "i-spam", ukukopela, ukuthatha inxaxheba kwimarike yokukopela, iinkqubo zokuphulwa kwemithetho yanoma yiyiphi indawo, i-phishing kunye nemizamo yayo ihanjiswe phezulu kwisicatshulwa.
- Kufakwe umhlathi ochaza ithuba lokufakela isibheno kwimeko yokungavumelani nokuvalwa.
- Imfuno yongezwe kubanini beendawo zokugcina ezibamba umxholo onokuba yingozi njengenxalenye yophando lokhuseleko. Ubukho bomxholo onjalo kufuneka buchazwe ngokucacileyo ekuqaleni kwefayili ye-README.md, kwaye ulwazi loqhagamshelwano kufuneka lunikezelwe kwifayile ye-SECURITY.md. Kuxelwa ukuba ngokubanzi i-GitHub ayisusi ukuxhaphaza okupapashiweyo kunye nophando lokhuseleko kubuthathaka obuveziweyo (kungekhona i-0-day), kodwa igcina ithuba lokunqanda ukufikelela ukuba icinga ukuba kusekho umngcipheko woku kusetyenziswa kuhlaselo lokwenyani. kwaye kwinkonzo yeGitHub inkxaso ifumene izikhalazo malunga nekhowudi esetyenziselwa ukuhlaselwa.
umthombo: opennet.ru