Viele PoCs erscheinen als simple Textdatei mit Verweisen auf Unternehmenswebsites oder Blogs. Der Reverse-Engineer Axel Souchet veröffentlicht seine PoCs auf einer mir sehr angenehmen und besseren Art: Als Git-Repository. Hier seine jüngste Veröffentlichung zum CVE-2021-28476 von vor wenigen Stunden, wie per RCE ein Gast einer HyperV-Umgebung ausbrechen kann1.
Der weitere Verlauf einer Veröffentlichung ist nicht minder spannend, will etwas gelernt und auch verstanden werden. Und Rückfragen oder Ergänzungen gibt es fast immer zu etwas. Exemplarisch im Screenshot die Commits eines älteren PoC zum CVE-2019-9810 aus dem letzten Jahr2.
Einzig der Umstand, dass Microsoft GitHub als Hosting-Plattform für das Git-Repository genutzt wird hinterlässt einen Beigeschmack. Mit Codeberg.org gibt es eine kleine, nicht-kommerzielle und spendenfinanzierte Alternative ohne Sammeln von Verhaltensdaten3.
Die eigene Gitea-Instanz ist auch kein Hexenwerk, am allerwenigsten für Developer und Techies4. Die übersichtlichen Web-Interfaces erleichtern auch Nicht-Techies den Umgang. Git ist die beste Art und Weise mit komplexe Prozessen mit mehreren Beteiligten und Stakeholdern transparent und nachvollziehbar umzugehen. Daher mein Aufruf:
Nutzt Git! Veröffentlicht als Git-Repository!
In diesem Sinne,
Euer Tomas Jakobs