Nền tảng lưu trữ mã GitHub hôm thứ Sáu đã chính thức công bố một loạt cập nhật đối với các chính sách của trang web , nghiên cứu sâu hơn về cách công ty đối phó với phần mềm độc hại và khai thác mã được tải lên dịch vụ của mình.
"Chúng tôi cho phép rõ ràng các công nghệ bảo mật sử dụng kép và nội dung liên quan đến việc nghiên cứu các lỗ hổng, phần mềm độc hại và việc khai thác", công ty thuộc sở hữu của Microsoft cho biết . "Chúng tôi hiểu rằng nhiều dự án nghiên cứu bảo mật trên GitHub mang tính chất lưỡng dụng và mang lại lợi ích rộng rãi cho cộng đồng bảo mật. Chúng tôi cho rằng mục đích tích cực và việc sử dụng các dự án này để thúc đẩy và thúc đẩy cải tiến trên toàn hệ sinh thái."
Tuyên bố rằng họ sẽ không cho phép sử dụng GitHub để hỗ trợ trực tiếp cho các cuộc tấn công bất hợp pháp hoặc các chiến dịch phần mềm độc hại gây tổn hại về mặt kỹ thuật, công ty cho biết họ có thể thực hiện các bước để ngăn chặn các cuộc tấn công đang diễn ra tận dụng nền tảng này như một kẻ khai thác hoặc mạng phân phối nội dung phần mềm độc hại (CDN ).
Vì mục tiêu đó, người dùng không được tải lên, đăng, lưu trữ hoặc truyền bất kỳ nội dung nào có thể được sử dụng để cung cấp các tệp thực thi độc hại hoặc lạm dụng GitHub như một cơ sở hạ tầng tấn công, chẳng hạn như bằng cách tổ chức các cuộc tấn công từ chối dịch vụ (DoS) hoặc quản lý lệnh máy chủ -and-control (C2).
"Tác hại kỹ thuật có nghĩa là sử dụng quá nhiều tài nguyên, thiệt hại vật chất, thời gian ngừng hoạt động, từ chối dịch vụ hoặc mất dữ liệu, không có mục đích sử dụng kép ngầm hoặc rõ ràng trước khi xảy ra lạm dụng", GitHub nói.
Trong các tình huống có sự lạm dụng tích cực, phổ biến đối với nội dung lưỡng dụng, công ty cho biết họ có thể hạn chế quyền truy cập vào nội dung đó bằng cách đặt nó sau các rào cản xác thực và là "phương sách cuối cùng", vô hiệu hóa quyền truy cập hoặc xóa hoàn toàn khi có hạn chế khác các biện pháp không khả thi. GitHub cũng lưu ý rằng họ sẽ liên hệ với các chủ dự án có liên quan về các biện pháp kiểm soát được đưa ra nếu có thể.
Những thay đổi có hiệu lực sau khi công ty, vào cuối tháng 4, bắt đầu lấy ý kiến phản hồi về chính sách của mình xung quanh nghiên cứu bảo mật, phần mềm độc hại và khai thác trên nền tảng với mục tiêu hoạt động theo một bộ điều khoản rõ ràng hơn nhằm xóa bỏ sự mơ hồ xung quanh "tích cực gây hại nội dung "và" mã dừng "để hỗ trợ nghiên cứu bảo mật.
Bằng cách không gỡ bỏ các hoạt động khai thác trừ khi kho lưu trữ hoặc mã được đề cập được kết hợp trực tiếp vào một chiến dịch đang hoạt động, việc sửa đổi các chính sách của GitHub cũng là kết quả trực tiếp của sự chỉ trích rộng rãi kéo theo hậu quả của mã khai thác bằng chứng khái niệm (PoC) đã bị xóa khỏi nền tảng vào tháng 3 năm 2021.
Đoạn mã, được tải lên bởi một nhà nghiên cứu bảo mật, liên quan đến một tập hợp các lỗi bảo mật được gọi là ProxyLogon mà Microsoft tiết lộ đã bị các nhóm hack do nhà nước Trung Quốc tài trợ để xâm phạm các máy chủ Exchange trên toàn thế giới. GitHub vào thời điểm đó cho biết họ đã xóa PoC theo các chính sách sử dụng được chấp nhận của nó, trích dẫn nó bao gồm mã "cho một lỗ hổng được tiết lộ gần đây đang được khai thác tích cực."
Đăng nhận xét
Đăng nhận xét