Platform pengehosan kod GitHub secara rasmi mengumumkan satu siri kemas kini kepada peraturan tapak pada hari Jumaat yang akan menyelidiki cara syarikat mengendalikan perisian hasad dan kod kesat yang dimuat naik ke perkhidmatannya.
“Kami secara nyata membenarkan teknologi keselamatan dwi-guna dan kandungan yang berkaitan dengan kerentanan, perisian hasad dan penyelidikan eksploitasi,” kata syarikat milik Microsoft itu.
“Kami faham bahawa banyak projek penyelidikan keselamatan di GitHub mempunyai dua kegunaan dan secara amnya bermanfaat kepada komuniti keselamatan.
Kami menjangkakan niat positif dan penggunaan projek ini untuk menyokong dan memacu penambahbaikan di seluruh ekosistem.”
Syarikat itu berkata ia tidak akan membenarkan GitHub digunakan untuk menyokong secara langsung serangan haram atau kempen perisian hasad yang menyebabkan kemudaratan teknikal, dan berkata ia mungkin mengambil langkah untuk mengganggu serangan berterusan yang menggunakan platform sebagai eksploitasi atau rangkaian penghantaran perisian hasad (CDN).
Oleh itu, pengguna tidak boleh memuat naik, menyiarkan, mengehos atau menghantar sebarang kandungan yang boleh digunakan untuk menghantar boleh laku berniat jahat atau mengeksploitasi GitHub sebagai infrastruktur serangan, seperti dengan melakukan serangan penafian perkhidmatan (DoS) atau perintah perintah. pelayan -and-control (C2).
“Kerosakan teknikal bermaksud penggunaan sumber yang berlebihan, kerosakan fizikal, masa henti, penolakan perkhidmatan atau kehilangan data tanpa tujuan tersirat atau eksplisit penggunaan dwi sebelum penyalahgunaan,” kata GitHub.
Dalam senario di mana terdapat penyalahgunaan kandungan dwi-guna yang aktif dan meluas, syarikat itu berkata ia boleh mengehadkan akses kepada kandungan tersebut dengan meletakkannya di sebalik halangan pengesahan, dan sebagai “pilihan terakhir” menafikan akses atau mengalih keluarnya sepenuhnya jika mengikut had lain.
langkah-langkah tidak dapat dilaksanakan.
GitHub juga menyatakan bahawa ia akan menghubungi pemilik projek yang berkaitan tentang kawalan yang ada jika boleh.
Perubahan itu akan berkuat kuasa selepas syarikat itu mula meminta maklum balas mengenai penyelidikan keselamatan, perisian hasad dan dasar eksploitasinya pada platform pada akhir April, dengan tujuan untuk beroperasi di bawah syarat yang lebih jelas yang akan menghapuskan kesamaran tentang “berniat jahat secara aktif”. kandungan’ dan ‘kod semasa rehat’ untuk menyokong penyelidikan keselamatan.
Dengan tidak mengalih keluar eksploitasi melainkan repositori atau kod yang berkenaan terlibat secara langsung dalam kempen yang aktif, semakan dasar GitHub juga merupakan hasil langsung daripada kritikan meluas yang mengikuti eksploitasi kod bukti konsep (PoC). yang telah dialih keluar daripada platform pada Mac 2021.
Kod yang dimuat naik oleh penyelidik keselamatan berkaitan dengan satu set kelemahan keselamatan yang dikenali sebagai ProxyLogon, yang Microsoft dedahkan sedang dieksploitasi oleh kumpulan penggodam tajaan kerajaan China untuk menjejaskan pelayan Exchange di seluruh dunia.
GitHub berkata pada masa itu bahawa ia mengalih keluar PoC mengikut dasar penggunaannya yang boleh diterima, mengatakan ia mengandungi kod “untuk kelemahan yang didedahkan baru-baru ini yang sedang dieksploitasi secara aktif.”
