GitHub 近日推出了他们更新后的社区准则,解释了该公司将如何处理托管在其服务上的漏洞和恶意软件样本。
安全研究员 Nguyen Jang 在 3 月向 GitHub 上传了一个概念验证漏洞(PoC),该漏洞是微软 Exchange ProxyLogon 漏洞。在上传该漏洞后不久,Jang 就收到了一封来自 GitHub 的电子邮件,称 PoC 漏洞因违反可接受的使用政策而被删除。在声明中,GitHub 表示他们删除了 PoC,以保护当时被大量利用该漏洞的微软 Exchange 服务器。
然而,GitHub 立即面临了来自安全研究人员的反击,他们认为 GitHub 正在对合法安全研究的披露进行监管,仅仅是因为它影响了微软的产品。
GitHub 发布了最新的指导方针
4月,GitHub 向网络安全社区发出了关于他们对托管在 GitHub 上的恶意软件和漏洞政策的 "反馈呼吁"。
经过了一个多月时间的讨论,GitHub 正式宣布,禁止为恶意活动托管恶意软件、充当命令和控制服务器,以及用于分发恶意脚本而创建的仓库。然而,对外积极分享新信息和安全研究等目的的 PoC 漏洞和恶意软件是被允许的。
GitHub 指导方针中增加的关键变化有以下几点:
- 我们明确允许安全技术,以及与研究漏洞、恶意软件和漏洞有关的内容。我们理解 GitHub 上的许多安全研究项目是具有善意用途的,并且对安全社区广泛有益。
- 我们澄清了如何以及何时可以中断正在进行的、利用 GitHub 平台作为漏洞或恶意软件内容交付网络(CDN)的攻击。我们不允许使用 GitHub 来直接支持造成技术损害的非法攻击。
- 我们在这个政策中直接有一个上诉和恢复程序。我们允许用户对限制其内容或账户访问的决定提出上诉。
- 我们提出了一种方法,让各方在向 GitHub 报告滥用行为之前可以解决争端。这以建议的形式出现,即利用项目的可选 SECURITY.md 文件来提供联系信息以解决滥用报告。
GitHub 表示,他们将继续支持社区对其政策的反馈,以继续改进其政策。
猜你喜欢:暂无回复。
