Development

Governance
ontwikkelaar

Github verduidelijkt beleid rond potentieel gevaarlijke software

Wanneer grijpt de organisatie in?

8 juni 2021

Wanneer grijpt de organisatie in?

GitHub zegt de ontwikkeling van tools en andere software die zowel voor 'goede' of voor 'slechte' toepassingen gebruikt kunnen worden geen strobreed in de weg te leggen. Tegelijk staat de organisatie niet toe dat de GitHub-systemen worden ingezet voor ondersteuning van onwettige aanvallen die technische schade aanrichten. 

Het aangescherpte beleid is een reactie op de commotie die in maart ontstond naar aanleiding van het weghalen van een Proof-of-Concept (PoC) geplaatst door Nguyen Jang, waarmee het kinderlijk eenvoudig was om twee softwarefouten in Microsofts Exchange Server te misbruiken. Hoewel Microsoft op dat moment de patches al beschikbaar had, waren er nog veel instanties van Exchange Server niet beschermd. 

Er ontstond discussie over het feit dat het hier ging om bescherming van producten van Microsoft, immers de eigenaar van GitHub, terwijl een dergelijke actie niet plaatsvond bij softwarelekken van andere leveranciers. Michael Hanley, chief security officer bij GitHub, zegt nu in een blog dat de beleidsteksten zijn aangepast zodat onduidelijkheid over wanneer GitHub wel en niet ingrijpt, weggenomen worden.

Een van de belangrijke onderwerpen waarop het nieuwe beleid ingaat, is de zogeheten 'dual use'-software. Dat zijn tools die zowel voor IT-beveiligers als voor kwaadwillenden van onschatbare waarde kunnen zijn. Het gaat bijvoorbeeld om het Metasploit framework and Mimikatz. GitHub zegt niet de intentie te hebben om een oordeel te vellen over in wiens voordeel dergelijke software uitvalt, dan wel de discussie over misbruik van dual-use-software te kunnen beslechten.

Maar de organisatie houdt wel de mogelijkheid op in te grijpen wanneer duidelijk is dat software zoals een proof of concept potentieel op korte termijn veel schade kan aanrichten.

Lees meer over
Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.