GitHub gaat zijn beleid aanpassen om exploits en malware op het platform tegen te gaan. De verandering in het beleid is een reactie op alle ophef waar GitHub mee te maken kreeg toen het eerder dit jaar een PoC-exploit verwijderde. Om tot een nieuw beleid te komen, is GitHub actief in gesprek gegaan met de community.
Afgelopen maart uploade beveiligingsonderzoekers Nguyen Jang een proof-of-concept exploit (PoC) naar GitHub voor de Microsoft Exchange ProxyLogon-kwetsbaarheid. Kort na het uploaden van de exploit kreeg Jang een e-mail van GitHub waarin vermeld werd dat zijn PoC-exploit werd verwijderd aangezien het tegen de Acceptable Use Policies in ging.
In een statement maakt GitHub bekend dat het bedrijf de PoC verwijderde om de kwetsbare Microsoft Exchange servers – die op dat moment al zwaar aangevallen werden – te beschermen.
GitHub (wat eigendom is van Microsoft) kreeg echter al snel protest vanuit de community. Beveiligingsonderzoekers hadden het idee dat GitHub gegrond onderzoek de das om deed, enkel omdat het om een product van Microsoft ging.
Nieuw beleid op basis van feedback uit de community
In april vroeg GitHub om feedback vanuit de cybersecurity community over zijn beleid voor malware en exploits op het platform. Na een maand van input verzamelen, kondigt GitHub nu zijn nieuwe beleid aan.
Repositories gecreëerd zijn om malware te hosten voor kwaadaardige acties, kwaadaardige scripts te verspreiden of dienen als Command and Control-server zijn niet langer toegestaan. Het blijft wel toegestaan om PoC exploits te uploaden, mits ze ‘dual-user purpose’ hebben. In het geval van malware en exploits houdt dat in dat de exploits gebruikt kunnen worden door kwaadwillenden, maar ook om op een positieve manier nieuwe informatie en onderzoek te delen.
Volgens het nieuwe beleid van GitHub is dual-use content toegestaan. Wel houdt GitHub het recht om dual-use content te verwijderen wanneer deze actief gebruikt wordt voor aanvallen of malware-acties via GitHub.