GitHub 發布了政策變更,概述了有關發布漏洞和惡意軟體研究以及遵守美國數位千禧年版權法案 (DMCA) 的政策。 這些變更仍處於草稿狀態,可在 30 天內進行討論。
除了先前禁止分發和確保安裝或交付活動惡意軟體和漏洞利用程式之外,DMCA 合規性規則中還添加了以下條款:
- 明確禁止將繞過版權保護技術手段的技術放入儲存庫,包括許可證金鑰以及產生金鑰、繞過金鑰驗證和延長免費工作期限的程序。
- 正在引入提交申請以刪除此類代碼的程序。 刪除申請者需要提供技術細節,並聲明有意在阻止之前提交申請進行審查。
- 當儲存庫被封鎖時,他們承諾提供匯出問題和 PR 的能力,並提供法律服務。
對漏洞和惡意軟體規則的變更解決了微軟刪除用於發動攻擊的 Microsoft Exchange 漏洞原型後引發的批評。 新規則試圖將用於主動攻擊的危險內容與支持安全研究的代碼明確分開。 所做的更改:
- 不僅禁止透過發布帶有漏洞的內容來攻擊 GitHub 用戶,或像以前一樣使用 GitHub 作為傳播漏洞的手段,而且還禁止發布伴隨主動攻擊的惡意程式碼和漏洞。 一般來說,不禁止發佈在安全研究期間準備的漏洞利用範例並影響已修復的漏洞,但一切都取決於如何解釋「主動攻擊」一詞。
例如,以任何形式的來源文字發布攻擊瀏覽器的JavaScript 程式碼都屬於此標準- 沒有什麼可以阻止攻擊者使用fetch 將原始程式碼下載到受害者的瀏覽器中,如果漏洞原型以不可操作的形式發布,則自動修補它,並執行它。 與任何其他程式碼類似,例如 C++ 中的程式碼 - 沒有什麼可以阻止您在受攻擊的電腦上編譯它並執行它。 如果發現具有類似程式碼的儲存庫,則計劃不會刪除它,而是阻止對其進行存取。
- 禁止「垃圾郵件」、作弊、參與作弊市場、違反任何網站規則的程序、網路釣魚及其企圖的部分已在文本中移至更高位置。
- 增加了一段解釋在不同意阻止的情況下提出上訴的可能性。
- 作為安全研究的一部分,對託管潛在危險內容的儲存庫擁有者添加了一項要求。 必須在 README.md 文件的開頭明確提及此類內容的存在,並且必須在 SECURITY.md 文件中提供聯絡資訊。 據稱,一般來說,GitHub 不會刪除與已披露漏洞(非0-day)的安全研究一起發布的漏洞利用程序,但如果認為這些漏洞利用程序仍然存在用於真正攻擊的風險,則保留限制訪問的機會並且在服務中 GitHub 支援收到了有關代碼被用於攻擊的投訴。
來源: opennet.ru