GitHub: Neue Policy stellt Anlassfälle für Sperren klar und ermöglicht Einspruch

Inhaltsverzeichnis

Der wohl größte Anbieter für Code-Hosting und kollaborative Softwareentwicklung hat seine Richtlinien angepasst: Ein Eintrag im GitHub-Blog benennt die Blöcke an Neuerungen, die das Team herausgearbeitet hat. Die neuen Richtlinen bejahen unter anderem das Konzept der so genannten "Dual-Use Security", das bei der Erforschung von Schwachstellen, Schadcode und Exploits zum Einsatz kommt. Gemeint ist hiermit unter anderem die Veröffentlichung von Proof-of-Concept (PoC)-Code, für die GitHub eine bei Sicherheitsforschern beliebte Plattform darstellt.

GitHub bekennt sich zu Dual-Use Security

Solche Code-Veröffentlichungen sind ein zweischneidiges Schwert: Einerseits können sie zur Aufklärung sowie zur Entwicklung von Schutzmechanismen dienen und mitunter sogar Unternehmen zum Nachliefern verschleppter Updates bewegen. Andererseits besteht jedoch auch die Gefahr eines Missbrauchs des Codes als bequeme Vorlage für Angriffe eben jener Art, vor der die Forscher eigentlich warnen wollten.

GitHub bekennt sich jetzt klar zum Dual-Use-Konzept und hat sprachliche Wendungen aus seinen Policys entfernt, die Entwicklerinnen und Entwickler offenbar als abwertend gegenüber Dual-Use-Security-Projekten empfunden hatten. Bei Gefahr in Verzug behält GitHub sich vor, missbrauchbaren und somit potenziell schädlichen PoC-Code aus den Repositorys zu löschen.

Klarstellung der Anlassfälle für Sperren

Die neuen Richtlinien stellen außerdem klar, zu welchem Zeitpunkt und auf welche Weise GitHub künftig laufende Angriffe unterbindet, die die Plattform selbst als Basis für Schadsoftware und böswillige Inhalte nutzen. In der neuen Fassung betonen sie, dass das Überbeanspruchen von Ressourcen, absichtlich zugefügter technischer oder sonstiger physischer Schaden, Downtimes, Denial of Service (DoS) und das Verursachen von Datenverlust als missbräuchliche Nutzung von GitHub gelten und ausdrücklich verboten sind. Hintergund dieser Neuerung dürften die kürzlich auf der Plattform zugenommenen Aktivitäten rund um Kryptomining sein.

Nutzerinnen und Nutzer der Code-Hosting-Plattform haben nun ein in den Richtlinien verankertes Recht, verhängte Beschränkungen ihrer Inhalte anzufechten, und ein ordentlicher Prozess zum Wiederinstandsetzen soll nun existieren, falls GitHub Inhalte irrtümlich sperren sollte. Als letzten Punkt nennt der Blogeintrag den Umgang mit und das Lösen von Konflikten. Hierzu gibt es nun offenbar ein abgestuftes System, das dem Eskalieren und Melden missbräuchlicher Verwendung der Plattform vorgelagert ist und eine mögliche Lösung durch direkten Kontakt der Konfliktparteien zueinander empfiehlt.

Niederschwelliges Schlichtungsverfahren

Hierzu steht Nutzerinnen und Nutzern optional eine SECURITY.md-Datei mit den nötigen Kontaktinformationen zur Verfügung. Die Community soll durch diese Möglichkeit dazu ermutigt werden, Konflikte direkt mit den Maintainern eines Projektes zu klären statt direkt eine formale Missbrauchsanzeige zu erstatten.

Wer die neuen Community-Richtlinien im Detail nachvollziehen mag, findet sie unter "Site-Policy" auf GitHub. Weitere Details zur aktuellen Anpassung lassen sich dem Blogeintrag entnehmen, und auch in der GitHub-Dokumentation finden sich überarbeitete Hinweise zum Umgang mit Malware und Schadprogrammen.

Hintergrund der geänderten Richtlinien

Vor rund einem Monat hatte GitHub die Community in Form eines Pull Requests (PR) befragt und um Anregungen zur Verbesserung der Sicherheit vor Malware und Schadprogrammen in ihren Repositorys gebeten. Ziel war laut eigenen Angaben, die Community-Richtlinien einer kritischen Revision zu unterziehen und sie im Bereich Sicherheitsforschung sowie dem Umgang mit Schadsoftware nachzuschärfen. Bis einschließlich 4. Juni 2021 konnten Entwicklerinnen und Entwickler Kommentare einbringen.

(sih)