GitHub อัปเดต Policy อนุมัติการลบโค้ดสาธิตช่องโหว่

GitHub ได้อัปเดตนโยบายในการพิจารณาลบโค้ดสาธิตช่องโหว่ที่บ่งชี้ว่าถูกใช้ในการโจมตี

เรื่องราวเบื้องหลังการอัปเดตนโยบายดังกล่าวเกิดขึ้น สืบเนื่องจากในเดือนมีนาคม Nguyen Jang นักวิจัยด้านความมั่นคงปลอดภัยได้อัปโหลดโค้ดสาธิตช่องโหว่ ProxyLogon บน Microsoft Exchange ซึ่งในเวลาต่อมาได้ถูกลบออกและได้รับอีเมลบอกกล่าวใจความว่าเข้าใจถึงประโยชน์แต่อ้างอิงตามนโยบายเพื่อทำการลบได้ ด้วยเหตุนี้เองทำให้ GitHub ถูกครหาในกลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยว่าปกป้องผลกระทบของ Microsoft หรือไม่

เมื่อเดือนเมษายน GitHub ได้มีการขอความเห็นจากกลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเพื่อจัดทำนโยบายด้านนี้ขึ้น และล่าสุดได้มีการอัปเดตโดยใจความสำคัญคือ

• อนุญาตให้มีการเผยแพร่เนื้อหาที่มีความหมายใน 2 มุมได้ (Dual-use) กล่าวคือในด้านนึงก็ให้ผลประโยชน์ความรู้ หรืออาจถูกใช้ในทางลบได้
• ไม่อนุญาตให้ใช้ GitHub เป็นส่วนหนึ่งของการโจมตีเจาะระบบหรืออื่นใดที่เป็นการกระทำที่ผิดกฏหมายเด็ดขาด
• มีกระบวนการอุธรณ์ โต้แย้ง และสามารถคืนสถานให้เนื้อหาหรือบัญชีใช้งานได้
• ในการรายงานการกระทำผิดสนับสนุนให้ผู้พบเห็นติดต่อผู้ดูแลโปรเจ็คโดยตรงก่อน หรือจากแจ้งเตือนต่อทีมงาน GitHub ก็ได้

อย่างไรก็ดีทั้งหมดนี้ GitHub ยังคงขอสงวนสิทธิ์ในการลบเนื้อหา Dual-use เช่น การใช้ช่องโหว่ มัลแวร์ เพื่อหยุดยั้งการปฏิบัติการที่ใช้ GitHub เป็นส่วนหนึ่งของการโจมตี และจะมีการแจ้งเตือนเจ้าของโปรเจ็ค ซึ่งในรายละเอียดปลีกย่อยยังมีเรื่องของกระบวนการซ่อนเนื้อหาหรือเงื่อนไขในการลบถาวร ทั้งหมดนี้ติดตามได้จากประกาศของ GitHub ที่ https://docs.github.com/en/github/site-policy/github-community-guidelines#active-malware-or-exploits 

ที่มา : https://www.bleepingcomputer.com/news/security/githubs-new-policies-allow-removal-of-poc-exploits-used-in-attacks/