GitHub 发布了政策变更,概述了有关发布漏洞和恶意软件研究以及遵守美国数字千年版权法案 (DMCA) 的政策。 这些更改仍处于草稿状态,可在 30 天内进行讨论。
除了之前禁止分发和确保安装或交付活动恶意软件和漏洞利用程序之外,DMCA 合规性规则中还添加了以下条款:
- 明确禁止将绕过版权保护技术手段的技术放入存储库,包括许可证密钥以及生成密钥、绕过密钥验证和延长免费工作期限的程序。
- 正在引入提交申请以删除此类代码的程序。 删除申请者需要提供技术细节,并声明有意在阻止之前提交申请进行审查。
- 当存储库被封锁时,他们承诺提供导出问题和 PR 的能力,并提供法律服务。
对漏洞和恶意软件规则的更改解决了微软删除用于发起攻击的 Microsoft Exchange 漏洞原型后引发的批评。 新规则试图将用于主动攻击的危险内容与支持安全研究的代码明确分开。 所做的更改:
- 不仅禁止通过发布带有漏洞的内容来攻击 GitHub 用户,或者像以前一样使用 GitHub 作为传播漏洞的手段,而且还禁止发布伴随主动攻击的恶意代码和漏洞。 一般来说,不禁止发布在安全研究期间准备的漏洞利用示例并影响已修复的漏洞,但一切都取决于如何解释“主动攻击”一词。
例如,以任何形式的源文本发布攻击浏览器的 JavaScript 代码都属于此标准 - 没有什么可以阻止攻击者使用 fetch 将源代码下载到受害者的浏览器中,如果漏洞原型以不可操作的形式发布,则自动修补它,并执行它。 与任何其他代码类似,例如 C++ 中的代码 - 没有什么可以阻止您在受攻击的计算机上编译它并执行它。 如果发现具有类似代码的存储库,计划不会删除它,而是阻止对其进行访问。
- 禁止“垃圾邮件”、作弊、参与作弊市场、违反任何网站规则的程序、网络钓鱼及其企图的部分已在文本中移至更高位置。
- 添加了一段解释在不同意阻止的情况下提出上诉的可能性。
- 作为安全研究的一部分,对托管潜在危险内容的存储库所有者添加了一项要求。 必须在 README.md 文件的开头明确提及此类内容的存在,并且必须在 SECURITY.md 文件中提供联系信息。 据称,一般来说,GitHub 不会删除与已披露漏洞(非 0-day)的安全研究一起发布的漏洞利用程序,但如果认为这些漏洞利用程序仍然存在用于真正攻击的风险,则保留限制访问的机会并且在服务中 GitHub 支持收到了有关代码被用于攻击的投诉。
来源: opennet.ru