GitHub新政引发热议：允许托管以安全研究为目的的恶意软件

GitHub作为超级流行的源代码管理平台，以其实用的功能和用户友好的界面攀上了全球最大代码仓库的位置，如今其上托管着超过8000万源代码库。公司和个人都在用GitHub存储和管理源代码，保持软件开发项目平稳进行。

安全研究员Nguyen Jang在3月向GitHub上传了微软Exchange ProxyLogon 概念验证漏洞（PoC），不久GitHub删除了PoC，并表示是为了保护当时被大量利用该漏洞的微软 Exchange 服务器。

随即安全人员对其发起攻击，认为GitHub 正在对合法安全研究的披露进行监管，仅仅是因为它影响了微软的产品。

4月，GitHub 向网络安全社区发出了关于他们对托管在 GitHub 上的恶意软件和漏洞政策的“反馈呼吁”。

近日GitHub发布指导方针正式宣布，禁止为恶意活动托管恶意软件、充当命令和控制服务器，以及用于分发恶意脚本而创建的仓库。然而，允许对外积极分享新信息和安全研究等目的的 PoC 漏洞和恶意软件。

我们明确允许安全技术，以及与研究漏洞、恶意软件和漏洞有关的内容。我们理解 GitHub 上的许多安全研究项目是具有善意用途的，并且对安全社区广泛有益。

我们澄清了如何以及何时可以中断正在进行的、利用 GitHub 平台作为漏洞或恶意软件内容交付网络（CDN）的攻击。我们不允许使用 GitHub 来直接支持造成技术损害的非法攻击。

我们在这个政策中直接有一个上诉和恢复程序。我们允许用户对限制其内容或账户访问的决定提出上诉。

我们提出了一种方法，让各方在向 GitHub 报告滥用行为之前可以解决争端。这以建议的形式出现，即利用项目的可选 SECURITY.md 文件来提供联系信息以解决滥用报告。

GitHub 表示，他们将继续支持社区对其政策的反馈，以继续改进其政策。

有网友非常赞同这个举措，认为：“各CVE的PoC或者Exploit在漏洞修复以后开源出来没毛病。”

但是也有网友认为此政策非常危险，认为这个：“恶意软件编译后恶意运行怎么办”“会成为学习编写恶意软件的途径”。

还有用户对这个举措，提出了自己的疑问：“那如何界定是否以安全为目的呢？”“会不会造成开源社区出现病毒木马呢？”

针对GitHub的这项举措，你怎么看呢？

推荐文章++++

* 黑客组织REvil再出江湖，攻击美国最大肉类加工厂

* 鸿蒙2.0来了！发布会上都有哪些亮点？

* Win10 又带着Bug来了！部分 FLAC 格式音乐文件损坏，已发布紧急更新修复

* 苹果M1芯片被曝"无害"漏洞

* ETC 诈骗又双叒叕来了！老司机速看

* 黑客攻击来袭，多个日本政府部门的敏感数据泄露

* 警惕！iOS与macOS设备仍然存在WebKit漏洞！

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/