La plate-forme d’hébergement de code GitHub a officiellement annoncé vendredi une série de mises à jour du les politiques du site qui explorent la façon dont l’entreprise traite les logiciels malveillants et les codes d’exploitation téléchargés sur son service.
« Nous autorisons explicitement les technologies de sécurité à double usage et le contenu lié à la recherche sur les vulnérabilités, les logiciels malveillants et les exploits », la société appartenant à Microsoft mentionné. « Nous comprenons que de nombreux projets de recherche sur la sécurité sur GitHub sont à double usage et largement bénéfiques pour la communauté de la sécurité. Nous supposons une intention et une utilisation positives de ces projets pour promouvoir et conduire des améliorations dans l’ensemble de l’écosystème. »
Déclarant qu’elle n’autorisera pas l’utilisation de GitHub à l’appui direct d’attaques illégales ou de campagnes de logiciels malveillants causant des dommages techniques, la société a déclaré qu’elle pourrait prendre des mesures pour perturber les attaques en cours qui exploitent la plate-forme comme un exploit ou un réseau de diffusion de contenu malveillant (CDN ).
À cette fin, les utilisateurs s’abstiennent de télécharger, publier, héberger ou transmettre tout contenu qui pourrait être utilisé pour fournir des exécutables malveillants ou abuser de GitHub en tant qu’infrastructure d’attaque, par exemple en organisant des attaques par déni de service (DoS) ou en gérant la commande. serveurs -et-contrôle (C2).
« Les dommages techniques signifient une surconsommation de ressources, des dommages physiques, des temps d’arrêt, un déni de service ou une perte de données, sans objectif de double usage implicite ou explicite avant que l’abus ne se produise », a déclaré GitHub.
Dans les scénarios où il y a un abus actif et généralisé de contenu à double usage, la société a déclaré qu’elle pourrait restreindre l’accès à ce contenu en le plaçant derrière des barrières d’authentification et, en « dernier recours », désactiver l’accès ou le supprimer complètement lorsque d’autres restrictions les mesures ne sont pas réalisables. GitHub a également noté qu’il contacterait les propriétaires de projets concernés au sujet des contrôles mis en place dans la mesure du possible.
Les changements entrent en vigueur après que la société, fin avril, a commencé solliciter des commentaires sur sa politique concernant la recherche de sécurité, les logiciels malveillants et les exploits sur la plate-forme sous un ensemble de termes plus clairs qui supprimeraient l’ambiguïté entourant le « contenu activement nuisible » et le « code au repos » à l’appui de la recherche en matière de sécurité.
En ne supprimant pas les exploits à moins que le référentiel ou le code en question ne soit directement intégré à une campagne active, la révision des politiques de GitHub est également le résultat direct des critiques généralisées qui ont suivi à la suite d’un code d’exploitation de preuve de concept (PoC). qui a été retiré de la plateforme en mars 2021.
Le code, téléchargé par un chercheur en sécurité, concernait un ensemble de failles de sécurité connues sous le nom de ProxyLogon que Microsoft a révélées qui étaient exploitées par des groupes de piratage parrainés par l’État chinois pour violer les serveurs Exchange dans le monde entier. GitHub a déclaré à l’époque qu’il avait supprimé le PoC conformément à ses politiques d’utilisation acceptable, citant qu’il incluait du code « pour une vulnérabilité récemment révélée qui est activement exploitée ».