GitHub ужесточает правила, связанные с размещением результатов исследований безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
GitHub опубликовал изменения правил, определяющих политику в отношении размещения эксплоитов и результатов исследования вредоносного ПО, а также соблюдения действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Изменения пока находятся в состоянии черновика, доступного для обсуждения в течение 30 дней.
В правила соблюдения DMCA, помимо ранее присутствовавшего запрета распространения и обеспечения установки или доставки активного вредоносного ПО и эксплоитов,
добавлены следующие условия:
- Явный запрет помещения в репозитории технологий для обхода технических средств защиты авторских прав, включая лицензионные ключи, а также программы для генерации ключей, обхода проверки ключей и продления бесплатного периода работы.
- Вводится порядок подачи заявки на удаление такого кода. От подающего заявку на удаление требуется предоставление технических деталей, с задекларированным намерением передать эту заявку на экспертизу до блокировки.
- При блокировке репозитория обещают обеспечить возможность экспортировать issuе и PR-ы, и предложить юридические услуги.
Изменения, внесённые в правила, касающиеся эксплоитов и вредоносного ПО, учитывают критику, прозвучавшую после удаления компанией Microsoft прототипа эксплоита для Microsoft Exchange, используемого для совершения атак. В новых правилах предпринята попытка явного отделения содержимого, предоставляющего опасность и используемого для совершения активных атак, и кода, сопровождающего исследования в области безопасности. Внесённые изменения:
- Запрещено не только атаковать пользователей GitHub путём размещения на нём контента с эксплоитами или использовать GitHub как средство доставки экспдоитов, как было раньше, но и размещать вредоносный код и эксплоиты, сопутствующие проведению активных атак. В общем виде не запрещено размещение примеров эксплоитов, подготовленных в ходе исследований безопасности и затрагивающих уже исправленные уязвимости, но всё будет зависеть от того, как трактовать термин "активные атаки".
Например, публикация в любом виде исходных текстов JavaScript-кода, атакующего браузер, подпадает под данный критерий - злоумышленнику ничего не мешает загрузить исходный код в браузер жертвы fetch-ем, автоматически пропатчить, если прототип эксплоита опубликован в неработоспособном виде, и выполнить. Аналогично с любым другим кодом, например на C++, - ничто не мешает скомпилировать его на атакуемой машине, и выполнить. При обнаружении репозитория с подобным кодом его планируется не удалять, а закрывать к нему доступ.
- Перенесён выше по тексту раздел, запрещающий "спам", накрутки, участие в рынке накруток, программы для нарушения правил каких-либо сайтов, фишинг и его попытки.
- Добавлен пункт с пояснением возможности подачи апелляции в случае несогласия с блокировкой.
- Добавлено требование к владельцам репозиториев, в которых в рамках исследований безопасности размещается потенциально опасное содержимое. Наличие подобного содержимого должно быть явно упомянуто вначале файла README.md, а в файле SECURITY.md должны быть предоставлены контактные данные для связи. Указано, что в общем виде GitHub не удаляет эксплоиты, опубликованные вместе с исследованиями безопасности для уже раскрытых уязвимостей (не 0-day), но оставляет за собой возможность ограничить доступ, если посчитает, что сохраняется риск применения данных эксплоитов для реальных атак и в службу поддержки GitHub поступают жалобы об использовании кода для атак.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.com/github/site...)
- OpenNews: Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange
- OpenNews: GitHub документировал механизм блокировки всей сети форков
- OpenNews: GitHub намерен отслеживать посещения самостоятельно, без привлечения сторонних сервисов
- OpenNews: GitHub намерен сканировать репозитории на предмет запрещённого содержимого
- OpenNews: GitHub начал ограничивать пользователей с территорий, подпадающих под санкции США
Похожие новости:
- [Информационная безопасность, Разработка веб-сайтов, GitHub] GitHub блокирует FLoC от Google на всех страницах, кроме кастомных доменов
- [Занимательные задачки, GitHub, Веб-аналитика, Инфографика, Биографии гиков] Кто есть кто в кампании за отмену Столлмана
- [Системное администрирование, GitHub, Софт] Microsoft обновила пакетный менеджер winget. В версии 0.3 можно просматривать установленные приложения и удалять их
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Open source, GitHub, Разработка под Linux, Космонавтика] Опенсорс прилетел на Марс
- [Python, PDF, GitHub] Шаблонизация PDF
- [JavaScript, Google API, GitHub] Google Sheets — как разноплановый помощник для непростых задач или как я делал анализатор футбольный матчей
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность] Модель угроз: как и зачем мы поделили хакеров на категории
- [Java] Подключение Keycloak к Spring Boot приложению
Теги для поиска: #_github, #_exploit, #_security, #_policy
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 05:45
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
GitHub опубликовал изменения правил, определяющих политику в отношении размещения эксплоитов и результатов исследования вредоносного ПО, а также соблюдения действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Изменения пока находятся в состоянии черновика, доступного для обсуждения в течение 30 дней. В правила соблюдения DMCA, помимо ранее присутствовавшего запрета распространения и обеспечения установки или доставки активного вредоносного ПО и эксплоитов, добавлены следующие условия:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 05:45
Часовой пояс: UTC + 5