Komunitas Keamanan Siber Tidak Senang Dengan Pembaruan Kebijakan yang Diusulkan GitHub

  • Whatsapp
view counter


GitHub ingin memperbarui kebijakannya terkait penelitian keamanan, eksploitasi, dan malware, tetapi komunitas keamanan siber tidak senang dengan perubahan yang diusulkan.

Bacaan Lainnya

Komunitas telah diminta untuk memberikan masukan hingga 1 Juni klarifikasi yang diusulkan terkait eksploitasi dan malware yang dihosting di GitHub.

“Pembaruan kebijakan kami berfokus pada perbedaan antara konten yang secara aktif berbahaya, yang tidak diizinkan di platform, dan kode yang tidak digunakan untuk mendukung penelitian keamanan, yang diterima dan didorong. Pembaruan ini juga fokus pada menghilangkan ambiguitas dalam cara kami menggunakan istilah seperti ‘mengeksploitasi’, ‘malware,’ dan ‘pengiriman’ untuk mempromosikan kejelasan harapan dan niat kami, “Mike Hanley, CSO dari GitHub, mengatakan dalam sebuah posting blog pada hari Kamis.

Dia menambahkan, “Pembaruan ini bertujuan untuk menetapkan parameter yang jelas bagi komunitas riset keamanan tentang bagaimana GitHub menanggapi laporan penyalahgunaan yang berkaitan dengan malware dan eksploitasi pada platform, serta memberikan transparansi tentang bagaimana GitHub memutuskan apakah akan menempatkan pembatasan pada proyek atau tidak. . ”

Perubahan yang diusulkan datang setelah layanan berbagi kode milik Microsoft menghapus eksploitasi bukti konsep (PoC) untuk yang baru-baru ini diungkapkan. Kerentanan Microsoft Exchange yang telah dieksploitasi dalam banyak serangan. Beberapa anggota industri keamanan siber juga tidak senang dengan keputusan itu, menuduh bahwa kemungkinan besar hanya dihapus karena menargetkan produk Microsoft dan bahwa eksploitasi serupa yang menargetkan perangkat lunak dari vendor lain belum dihapus.

GitHub pada saat itu mengatakan telah menghapus PoC sesuai dengan kebijakan penggunaan yang dapat diterima, dan beberapa ahli menunjukkan bahwa GitHub sebenarnya telah menghapus eksploitasi yang menargetkan produk vendor lain, menunjukkan bahwa eksploitasi Exchange tidak dihapus hanya karena merugikan Microsoft.

Sekarang, GitHub ingin memperbarui kebijakannya seputar malware dan eksploitasi untuk menghindari masalah di masa mendatang.

“Dalam situasi apa pun pengguna tidak akan mengunggah, memposting, menghosting, mengeksekusi, atau mengirimkan konten apa pun yang: berisi atau memasang malware atau eksploitasi yang mendukung serangan aktif dan berkelanjutan yang menyebabkan kerusakan,” demikian bunyi kebijakan terbaru yang diusulkan oleh GitHub.

Satu paragraf yang ditambahkan ke pedoman komunitas GitHub berbunyi, “GitHub biasanya tidak akan menghapus eksploitasi untuk mendukung pelaporan kerentanan atau penelitian keamanan ke dalam kerentanan yang diketahui. Namun, GitHub dapat membatasi konten jika kami memutuskan bahwa konten tersebut masih berisiko saat kami menerima laporan penyalahgunaan aktif dan pengelola sedang mengupayakan penyelesaiannya. ”

Mayoritas dari mereka yang memberikan umpan balik tidak senang dengan perubahan yang diusulkan.

“Dengan menggunakan verbiage seperti ‘berisi atau menginstal malware atau eksploitasi yang mendukung serangan aktif dan berkelanjutan yang menyebabkan kerugian’ dalam kebijakan penggunaan Anda, Anda secara efektif menunjuk diri Anda sendiri sebagai polisi tentang apa yang merupakan ‘menyebabkan kerugian’. Menurut definisi satu orang, itu mungkin hanya bukti konsep yang dieksploitasi, oleh orang lain yang mungkin merupakan kerangka kerja metasploit secara keseluruhan, ” kata Jason Lang, konsultan keamanan senior di TrustedSec.

Robert Graham dari Errata Security dicatat bahwa penggunaan kata-kata seperti “dukungan untuk serangan yang sedang berlangsung dan aktif” adalah “tangkapan yang tidak jelas yang tidak mungkin untuk menentukan apakah seseorang telah melanggar.”

“Peretas telah mengunduh otomatis kode saya dalam serangan mereka, yang berarti saya melanggar aturan baru secara teknis,” kata Graham.

Menanggapi kritik tersebut, Hanley dicatat bahwa umpan balik yang diterima oleh perusahaan akan diperhitungkan.

Terkait: GitHub Memberi Tahu Pengguna tentang Bug Otentikasi yang ‘Berpotensi Serius’

Terkait: Detail yang Diungkapkan untuk Cacat Halaman GitHub yang Menghasilkan Peneliti $ 35.000

Eduard Kovacs (@Edu) adalah editor kontribusi di SecurityWeek. Dia bekerja sebagai guru IT sekolah menengah selama dua tahun sebelum memulai karir di jurnalisme sebagai reporter berita keamanan Softpedia. Eduard memiliki gelar sarjana dalam bidang informatika industri dan gelar master dalam teknik komputer yang diterapkan dalam teknik kelistrikan.

Kolom Sebelumnya oleh Eduard Kovacs:
Tag:





Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *