Newsua.biz


GitHub ужесточает правила, связанные с размещением результатов исследований безопасности

06 мая
03:12 2021

GitHub опубликовал изменения правил, определяющих политику в отношении размещения эксплоитов и результатов исследования вредоносного ПО, а также соблюдения действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Изменения пока находятся в состоянии черновика, доступного для обсуждения в течение 30 дней. Об этом сообщает opennet.ru .

В правила соблюдения DMCA, помимо ранее присутствовавшего запрета распространения и обеспечения установки или доставки активного вредоносного ПО и эксплоитов, добавлены следующие условия:

-Явный запрет помещения в репозитории технологий для обхода технических средств защиты авторских прав, включая лицензионные ключи, а также программы для генерации ключей, обхода проверки ключей и продления бесплатного периода работы.

-Вводится порядок подачи заявки на удаление такого кода. От подающего заявку на удаление требуется предоставление технических деталей, с задекларированным намерением передать эту заявку на экспертизу до блокировки.

-При блокировке репозитория обещают обеспечить возможность экспортировать issuе и PR-ы, и предложить юридические услуги.

Изменения, внесённые в правила, касающиеся эксплоитов и вредоносного ПО, учитывают критику, прозвучавшую после удаления компанией Microsoft прототипа эксплоита для Microsoft Exchange, используемого для совершения атак. В новых правилах предпринята попытка явного отделения содержимого, предоставляющего опасность и используемого для совершения активных атак, и кода, сопровождающего исследования в области безопасности. Внесённые изменения:

-Запрещено не только атаковать пользователей GitHub путём размещения на нём контента с эксплоитами или использовать GitHub как средство доставки эксплоитов, как было раньше, но и размещать вредоносный код и эксплоиты, сопутствующие проведению активных атак. В общем виде не запрещено размещение примеров эксплоитов, подготовленных в ходе исследований безопасности и затрагивающих уже исправленные уязвимости, но всё будет зависеть от того, как трактовать термин «активные атаки».

Например, публикация в любом виде исходных текстов JavaScript-кода, атакующего браузер, подпадает под данный критерий — злоумышленнику ничего не мешает загрузить исходный код в браузер жертвы fetch-ем, автоматически пропатчить, если прототип эксплоита опубликован в неработоспособном виде, и выполнить. Аналогично с любым другим кодом, например на C++, — ничто не мешает скомпилировать его на атакуемой машине, и выполнить. При обнаружении репозитория с подобным кодом его планируется не удалять, а закрывать к нему доступ.

-Перенесён выше по тексту раздел, запрещающий «спам», накрутки, участие в рынке накруток, программы для нарушения правил каких-либо сайтов, фишинг и его попытки.

-Добавлен пункт с пояснением возможности подачи апелляции в случае несогласия с блокировкой.

-Добавлено требование к владельцам репозиториев, в которых в рамках исследований безопасности размещается потенциально опасное содержимое. Наличие подобного содержимого должно быть явно упомянуто вначале файла README.md, а в файле SECURITY.md должны быть предоставлены контактные данные для связи. Указано, что в общем виде GitHub не удаляет эксплоиты, опубликованные вместе с исследованиями безопасности для уже раскрытых уязвимостей (не 0-day), но оставляет за собой возможность ограничить доступ, если посчитает, что сохраняется риск применения данных эксплоитов для реальных атак и в службу поддержки GitHub поступают жалобы об использовании кода для атак.

Источник: securitylab.ru

Share

Статьи по теме





0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Оставляя свой комментарий, помните о том, что содержание и тон вашего сообщения могут задеть чувства реальных людей, непосредственно или косвенно имеющих отношение к данной новости. Проявляйте уважение и толерантность к своим собеседникам. Пользователи, которые систематически нарушают это правило - будут заблокированы.




Последние новости

Удар России по Днепру новой ракетой вызывает тревогу: ООН

Читать всю статью

Мы в соцсетях