Github verduidelijkt beleid rond potentieel gevaarlijke software

Het aangescherpte beleid is een reactie op de commotie die in maart ontstond naar aanleiding van het weghalen van een Proof-of-Concept (PoC) geplaatst door Nguyen Jang, waarmee het kinderlijk eenvoudig was om twee softwarefouten in Microsofts Exchange Server te misbruiken. Hoewel Microsoft op dat moment de patches al beschikbaar had, waren er nog veel instanties van Exchange Server niet beschermd.

Er ontstond discussie over het feit dat het hier ging om bescherming van producten van Microsoft, immers de eigenaar van GitHub, terwijl een dergelijke actie niet plaatsvond bij softwarelekken van andere leveranciers. Michael Hanley, chief security officer bij GitHub, zegt nu in een blog dat de beleidsteksten zijn aangepast zodat onduidelijkheid over wanneer GitHub wel en niet ingrijpt, weggenomen worden.

Een van de belangrijke onderwerpen waarop het nieuwe beleid ingaat, is de zogeheten 'dual use'-software. Dat zijn tools die zowel voor IT-beveiligers als voor kwaadwillenden van onschatbare waarde kunnen zijn. Het gaat bijvoorbeeld om het Metasploit framework and Mimikatz. GitHub zegt niet de intentie te hebben om een oordeel te vellen over in wiens voordeel dergelijke software uitvalt, dan wel de discussie over misbruik van dual-use-software te kunnen beslechten.

Maar de organisatie houdt wel de mogelijkheid op in te grijpen wanneer duidelijk is dat software zoals een proof of concept potentieel op korte termijn veel schade kan aanrichten.