GitHub überarbeitet Richtlinien für eine klarere Definition von Projekten zur Malware- und Schwachstellenforschung

GitHub hat seine Richtlinien in Bezug auf Exploits, Malware und Schwachstellenforschung geändert, sodass die Position des Unternehmens in Bezug auf Maßnahmen und seine Verantwortung jetzt viel klarer dargelegt ist. Dem Schritt vorausgegangen war eine längere öffentliche Debatte.

Es gibt keinen Zweifel daran, dass der Nutzen von GitHub potenzielle Schäden bei weitem überwiegt. Dennoch wurde die Plattform in der Vergangenheit immer wieder auch für Malware-Kampagnen missbraucht. GitHub versucht jetzt, durch die Änderung seiner Richtlinien eine bessere Verwaltung seiner Inhalte für Benutzer, Sicherheitsforscher und die Plattform selbst zu ermöglichen.

Nachdem sich die Community zu GitHubs Vorschlag geäußert hatte, sind die neuen Richtlinien nun in Kraft getreten. Besonders hervor sticht dabei folgende Formulierung:

„Wir erlauben ausdrücklich Dual-Use Security-Technologien und -Inhalte im Zusammenhang mit der Erforschung von Schwachstellen, Malware und Exploits“, so die neuen Richtlinien. „Uns ist bewusst, dass viele Security-Projekte auf GitHub einen Dual-Use-Charakter haben und für die Security Community von großem Nutzen sind. Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben. Mit dieser Änderung präzisieren wir frühere, vage Formulierungen, die als abwertend gegenüber Dual-Use-Security-Projekten hätten empfunden werden können, und stellen klar, dass wir derartige Projekte begrüßen.“

Ein weiterer Punkt ist fast genauso entscheidend. Hier betont GitHub, dass es eine Nutzung der Plattform für rechtswidrige Angriffe, die technischen Schaden verursachen, nicht zulassen werde. Dabei definiert der Anbieter Schäden als übermäßigen Ressourcenverbrauch, physischen Schaden, Downtime, Denial-of-Service und Datenverlust. Diese präzise Angriffsdefinition lässt keinen Spielraum mehr für Interpretationen.

GitHub weist zudem explizit auf einen Einspruchs- und Wiederinstandsetzungsprozess hin, der für alle Benutzer verfügbar ist, deren Projekte gesperrt wurden. Darüber hinaus gibt es ab sofort ein System, mit dem die Parteien Streitigkeiten beilegen können, bevor ein Vorfall zur Schlichtung durch GitHub eskaliert wird.

Die neuen Richtlinien sollen es also leichter machen, echte Sicherheitsprojekte von Projekten mit niederen Motiven zu unterscheiden, und so verhindern, dass Bedrohungsakteure ihre Aktivitäten hinter dem Schleier der Sicherheitsforschung verbergen.