GitHub อัปเดต Policy อนุมัติการลบโค้ดสาธิตช่องโหว่

GitHub ได้อัปเดตนโยบายในการพิจารณาลบโค้ดสาธิตช่องโหว่ที่บ่งชี้ว่าถูกใช้ในการโจมตี

Credit: GitHub

เรื่องราวเบื้องหลังการอัปเดตนโยบายดังกล่าวเกิดขึ้น สืบเนื่องจากในเดือนมีนาคม Nguyen Jang นักวิจัยด้านความมั่นคงปลอดภัยได้อัปโหลดโค้ดสาธิตช่องโหว่ ProxyLogon บน Microsoft Exchange ซึ่งในเวลาต่อมาได้ถูกลบออกและได้รับอีเมลบอกกล่าวใจความว่าเข้าใจถึงประโยชน์แต่อ้างอิงตามนโยบายเพื่อทำการลบได้ ด้วยเหตุนี้เองทำให้ GitHub ถูกครหาในกลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยว่าปกป้องผลกระทบของ Microsoft หรือไม่

เมื่อเดือนเมษายน GitHub ได้มีการขอความเห็นจากกลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเพื่อจัดทำนโยบายด้านนี้ขึ้น และล่าสุดได้มีการอัปเดตโดยใจความสำคัญคือ

  • อนุญาตให้มีการเผยแพร่เนื้อหาที่มีความหมายใน 2 มุมได้ (Dual-use) กล่าวคือในด้านนึงก็ให้ผลประโยชน์ความรู้ หรืออาจถูกใช้ในทางลบได้
  • ไม่อนุญาตให้ใช้ GitHub เป็นส่วนหนึ่งของการโจมตีเจาะระบบหรืออื่นใดที่เป็นการกระทำที่ผิดกฏหมายเด็ดขาด
  • มีกระบวนการอุธรณ์ โต้แย้ง และสามารถคืนสถานให้เนื้อหาหรือบัญชีใช้งานได้
  • ในการรายงานการกระทำผิดสนับสนุนให้ผู้พบเห็นติดต่อผู้ดูแลโปรเจ็คโดยตรงก่อน หรือจากแจ้งเตือนต่อทีมงาน GitHub ก็ได้

อย่างไรก็ดีทั้งหมดนี้ GitHub ยังคงขอสงวนสิทธิ์ในการลบเนื้อหา Dual-use เช่น การใช้ช่องโหว่ มัลแวร์ เพื่อหยุดยั้งการปฏิบัติการที่ใช้ GitHub เป็นส่วนหนึ่งของการโจมตี และจะมีการแจ้งเตือนเจ้าของโปรเจ็ค ซึ่งในรายละเอียดปลีกย่อยยังมีเรื่องของกระบวนการซ่อนเนื้อหาหรือเงื่อนไขในการลบถาวร ทั้งหมดนี้ติดตามได้จากประกาศของ GitHub ที่ https://docs.github.com/en/github/site-policy/github-community-guidelines#active-malware-or-exploits 

ที่มา : https://www.bleepingcomputer.com/news/security/githubs-new-policies-allow-removal-of-poc-exploits-used-in-attacks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?