《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > GitHub新政引发热议:允许托管以安全研究为目的的恶意软件

GitHub新政引发热议:允许托管以安全研究为目的的恶意软件

2021-06-08
来源:网络安全应急技术国家工程实验室
关键词: github 托管 恶意软件

  微信图片_20210608224241.jpg

GitHub作为超级流行的源代码管理平台,以其实用的功能和用户友好的界面攀上了全球最大代码仓库的位置,如今其上托管着超过8000万源代码库。公司和个人都在用GitHub存储和管理源代码,保持软件开发项目平稳进行。

  安全研究员Nguyen Jang在3月向GitHub上传了微软Exchange ProxyLogon 概念验证漏洞(PoC),不久GitHub删除了PoC,并表示是为了保护当时被大量利用该漏洞的微软 Exchange 服务器。

  随即安全人员对其发起攻击,认为GitHub 正在对合法安全研究的披露进行监管,仅仅是因为它影响了微软的产品。

  4月,GitHub 向网络安全社区发出了关于他们对托管在 GitHub 上的恶意软件和漏洞政策的“反馈呼吁”。

  近日GitHub发布指导方针正式宣布,禁止为恶意活动托管恶意软件、充当命令和控制服务器,以及用于分发恶意脚本而创建的仓库。然而,允许对外积极分享新信息和安全研究等目的的 PoC 漏洞和恶意软件。

  我们明确允许安全技术,以及与研究漏洞、恶意软件和漏洞有关的内容。我们理解 GitHub 上的许多安全研究项目是具有善意用途的,并且对安全社区广泛有益。

  我们澄清了如何以及何时可以中断正在进行的、利用 GitHub 平台作为漏洞或恶意软件内容交付网络(CDN)的攻击。我们不允许使用 GitHub 来直接支持造成技术损害的非法攻击。

  我们在这个政策中直接有一个上诉和恢复程序。我们允许用户对限制其内容或账户访问的决定提出上诉。

  我们提出了一种方法,让各方在向 GitHub 报告滥用行为之前可以解决争端。这以建议的形式出现,即利用项目的可选 SECURITY.md 文件来提供联系信息以解决滥用报告。

  GitHub 表示,他们将继续支持社区对其政策的反馈,以继续改进其政策。

  有网友非常赞同这个举措,认为:“各CVE的PoC或者Exploit在漏洞修复以后开源出来没毛病。”

  但是也有网友认为此政策非常危险,认为这个:“恶意软件编译后恶意运行怎么办”“会成为学习编写恶意软件的途径”。

  还有用户对这个举措,提出了自己的疑问:“那如何界定是否以安全为目的呢?”“会不会造成开源社区出现病毒木马呢?”

  针对GitHub的这项举措,你怎么看呢?




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。