– Como muchos habían predicho, la adquisición de GitHub por parte de Microsoft tarde o temprano crearía un problema serio. Muchos piensan que la adquisición solo priorizará los intereses de Microsoft, en lugar de los intereses de sus usuarios.
La semana pasada, Microsoft dijo que “los comentarios sobre las políticas que hacemos con respecto a la investigación de seguridad, el malware y las vulnerabilidades en la plataforma para que la comunidad de seguridad pueda colaborar en GitHub deberían estar dentro de una serie de términos claros. Queremos reiterar nuestra esperanza de que continuaremos manteniendo a GitHub como un hogar y una comunidad seguros”.
Antes de su adquisición por parte de Microsoft, GitHub se convirtió en un lugar para que los investigadores y la comunidad de seguridad almacenaran el código que normalmente se usa en exploits y ataques cibernéticos. Sin embargo, debido a que ahora es propiedad de Microsoft y la compañía tiene una serie de productos de software propios, como Windows, que es uno de los mayores objetivos de explotación en el mundo, se considera que algunas cosas cargadas por los usuarios de GitHub amenazan con productos de Microsoft.
Hace unos meses, Microsoft eliminó una prueba de concepto (PoC) de un código de explotación que podría usarse para explotar una vulnerabilidad en el servicio Exchange Server de Microsoft, conocida como ProxyLogOn. Pero no mucho después, otro usuario volvió a cargar el mismo PoC en GitHub.
Algunos investigadores de seguridad estaban muy enojados con las acciones tomadas por Microsoft. Uno de ellos es David Kennedy, jefe de la empresa de seguridad TrustedSec, quien escribió en su cuenta de Twitter: “Realmente no tengo nada que decir aquí. Microsoft eliminó por completo PoC de GitHub. Este es un problema grave, eliminar el código creado por los investigadores de seguridad de GitHub que afecta su producto que ya está solucionado. Esto no es lo correcto”.
Pero sea lo que sea, esto tiene que pasar. Cualquiera tampoco pensaría que Microsoft permitiría el uso de su propiedad, como un contenedor para exploits que pueden atacar los productos y servicios de Microsoft.
El mismo caso también sucedió cuando GitHub eliminó un script para descargar contenido de Youtube, debido a que recibió una denuncia de la Asociación de la Industria de la Grabación de Estados Unidos, de la cual Microsoft es miembro.
Tampoco significa que los investigadores de seguridad y otros usuarios de GitHub no anticipen que habrá un conflicto de intereses con Microsoft como el nuevo propietario del servicio. Poco después de que Microsoft comprara GitHub, 97 desarrolladores de código abierto amenazaron con trasladar sus proyectos a otro lugar si Microsoft no rescindía sus contratos con Inmigración y Aduanas de Estados Unidos.
Incluso en 2019 hubo protestas contra la compra de GitHub por parte de Microsoft, en las que finalmente varios trabajadores decidieron renunciar. Pero al final, solo las ganancias se refieren a la empresa con sede en Redmond, y la pregunta es cuánto durará el problema, y los usuarios en realidad tienen su propia opción de quedarse con GitHub o cambiar a otra plataforma.
