ADPT

GitHub อัปเดต Policy อนุมัติการลบโค้ดสาธิตช่องโหว่

GitHub ได้อัปเดตนโยบายในการพิจารณาลบโค้ดสาธิตช่องโหว่ที่บ่งชี้ว่าถูกใช้ในการโจมตี

Credit: GitHub

เรื่องราวเบื้องหลังการอัปเดตนโยบายดังกล่าวเกิดขึ้น สืบเนื่องจากในเดือนมีนาคม Nguyen Jang นักวิจัยด้านความมั่นคงปลอดภัยได้อัปโหลดโค้ดสาธิตช่องโหว่ ProxyLogon บน Microsoft Exchange ซึ่งในเวลาต่อมาได้ถูกลบออกและได้รับอีเมลบอกกล่าวใจความว่าเข้าใจถึงประโยชน์แต่อ้างอิงตามนโยบายเพื่อทำการลบได้ ด้วยเหตุนี้เองทำให้ GitHub ถูกครหาในกลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยว่าปกป้องผลกระทบของ Microsoft หรือไม่

เมื่อเดือนเมษายน GitHub ได้มีการขอความเห็นจากกลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเพื่อจัดทำนโยบายด้านนี้ขึ้น และล่าสุดได้มีการอัปเดตโดยใจความสำคัญคือ

  • อนุญาตให้มีการเผยแพร่เนื้อหาที่มีความหมายใน 2 มุมได้ (Dual-use) กล่าวคือในด้านนึงก็ให้ผลประโยชน์ความรู้ หรืออาจถูกใช้ในทางลบได้
  • ไม่อนุญาตให้ใช้ GitHub เป็นส่วนหนึ่งของการโจมตีเจาะระบบหรืออื่นใดที่เป็นการกระทำที่ผิดกฏหมายเด็ดขาด
  • มีกระบวนการอุธรณ์ โต้แย้ง และสามารถคืนสถานให้เนื้อหาหรือบัญชีใช้งานได้
  • ในการรายงานการกระทำผิดสนับสนุนให้ผู้พบเห็นติดต่อผู้ดูแลโปรเจ็คโดยตรงก่อน หรือจากแจ้งเตือนต่อทีมงาน GitHub ก็ได้

อย่างไรก็ดีทั้งหมดนี้ GitHub ยังคงขอสงวนสิทธิ์ในการลบเนื้อหา Dual-use เช่น การใช้ช่องโหว่ มัลแวร์ เพื่อหยุดยั้งการปฏิบัติการที่ใช้ GitHub เป็นส่วนหนึ่งของการโจมตี และจะมีการแจ้งเตือนเจ้าของโปรเจ็ค ซึ่งในรายละเอียดปลีกย่อยยังมีเรื่องของกระบวนการซ่อนเนื้อหาหรือเงื่อนไขในการลบถาวร ทั้งหมดนี้ติดตามได้จากประกาศของ GitHub ที่ https://docs.github.com/en/github/site-policy/github-community-guidelines#active-malware-or-exploits 

ที่มา : https://www.bleepingcomputer.com/news/security/githubs-new-policies-allow-removal-of-poc-exploits-used-in-attacks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

The Future of Secure Work: ทำงานยุคใหม่ Hybrid Work ปลอดภัยอย่างมั่นใจไปกับ AIS ด้วย Microsoft Security

วิถีการทำงานที่เปลี่ยนไปสู่รูปแบบ Work from Home หรือ Hybrid Workplace ตามมาตรการเว้นระยะห่างในสถานการณ์ไวรัส COVID-19 เป็นปัจจัยสำคัญที่ทำให้พนักงานต่างใช้งานอุปกรณ์ส่วนตัวในการทำงาน ทั้งที่บ้านและในที่สาธารณะ ทว่าสิ่งที่แลกมากับความสะดวกสบายนั้นกลับกลายเป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีหรือแฮ็กเกอร์อาศัยช่วงจังหวะนี้ในการเข้าถึงข้อมูลของบริษัทผ่านการใช้งานอุปกรณ์ที่ไม่ได้มีเครื่องมือปกป้องอย่างรัดกุมจากการโจมตีทางไซเบอร์ อ้างอิงจากข้อมูลทางสถิติจากทาง Microsoft พบว่า …

ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ฟรี TTT Virtual Summit: Enterprise Cybersecurity 2021 [5-7 ต.ค. 2021]

TechTalkThai ขอเชิญ CISO, CSO, Cybersecurity Manager, IT Manager, Cybersecurity Engineer, IT Engineer, Network Engineer, IT Admin และผู้ที่สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์ฟรี TTT Virtual Summit: Enterprise Cybersecurity 2021 งานสัมมนาออนไลน์ครั้งใหญ่สำหรับทุกท่านที่สนใจในแนวโน้มและนวัตกรรมด้าน Cybersecurity เพื่ออัปเดตแนวโน้มด้านภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ล่าสุดในช่วงครึ่งหลังของปี 2021 รวมไปถึงกลยุทธ์ เทคโนโลยี และแนวทางปฏิบัติตามมาตรฐานและกรอบการทำงานต่างๆ สำหรับปกป้องระบบสารสนเทศและสินทรัพย์ดิจิทัลทั้งใน Data Center และบน Cloud