GitHub新政策允许移除用于攻击的PoC漏洞

已于 2024-01-16 22:18:36 修改
阅读量76 收藏
点赞数
文章标签: github
于 2023-10-21 10:04:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/133957976
版权

GitHub上周五宣布了他们更新的社区指南,解释了该公司将如何处理他们平台上的系统漏洞代码和恶意软件样本。

该公司声明将不允许使用GitHub直接支持造成技术损害的非法攻击或恶意软件活动,并表示可能会采取措施阻止利用该平台作为漏洞利用或恶意软件内容交付网络
(CDN) 的持续攻击。

为此,用户不得上传、发布、托管或传输任何可用于交付恶意可执行文件或滥用 GitHub 作为攻击基础设施的内容,例如,通过组织拒绝服务 (DoS)
攻击或管理命令-和控制(C2)服务器。

3月份有网络安全人员上传了一个针对Microsoft Exchange
ProxyLogon漏洞的概念证明漏洞(PoC)到GitHub,但不久后就收到GitHub的电子邮件,称PoC漏洞已被删除,因为它违反了GitHub使用政策。GitHub表示,他们是为了保护微软Exchange服务器,因为该漏洞正被频繁利用攻击Exchange服务器。

GitHub称,在社区发布概念证明漏洞利用的代码具有教育和研究价值,但GitHub的目标是在保持更广泛生态系统安全的同时平衡这种好处。

GitHub 发布更新指南

今年4月,GitHub向网络安全社区发布了一份“征求反馈意见”的公告,内容涉及他们针对GitHub上托管的恶意软件和漏洞的政策。经过一个月的调研,GitHub正式宣布,禁止为恶意活动托管恶意软件、充当命令和控制服务器,或用于分发恶意脚本的存储库。

但只要具有双重用户用途,就允许上传PoC漏洞和恶意软件。在恶意软件和利用系统漏洞的背景下,双重用途意味着上传的代码内容可用于共享新信息和研究,同时也可用于恶意目的。

GitHub指南中新增关键变化总结如下:

GitHub允许两用安全技术和与漏洞、恶意软件和漏洞研究相关的内容。GitHub上的许多安全研究项目都是两用的,并且对安全社区有广泛的益处。我们假定这些项目有积极的意图和使用,以促进和推动整个生态系统的改进。

GitHub已经阐明了我们将如何以及何时扰乱利用GitHub平台作为攻击或恶意内容传递网络(CDN)的持续攻击。GitHub不允许使用平台直接支持造成技术伤害的非法攻击,如过度消耗资源、物理破坏、停机、拒绝服务或数据丢失。

在政策中有直接的上诉和恢复流程。GitHub允许用户对限制其内容或帐户访问权限的决定提出上诉。因此呼吁受影响用户可以对针对其内容采取上诉。同时,在事件变得更严重之前,GitHub鼓励社区成员与项目维护者直接解决冲突。

虽然允许两用内容的出现,但新的GitHub关于PoCs和恶意软件的指导方针指出,他们保留删除两用内容(例如漏洞或恶意软件)的权利。

GitHub是一个为软件开发人员提供源代码支持和托管的平台,同时也是一个开源协作社区,通过GitHub,既可以让别人参与你的开源项目,也可以参与别人的开源项目。

现如今,开源软件代码已经成为软件世界的重要组成部分,根据 Gartner
统计,99%的组织在其IT系统中使用了开源软件代码,但同时,由开源代码引发的系统漏洞事件也愈发频繁。2019年公开披露的开源安全漏洞数较上一年增长50%,开发人员不注意下就可能在系统中引入开源代码漏洞。

开源代码是企业软件开发不可或缺的一部分,保障开源代码安全在一定基础上可以大大减少系统漏洞,因此企业应该在动态安全测试的基础上加强 静态代码安全检测
与开源组件成分分析,确保应用软件在网络运行环境下的安全运行。

来源:https://thehackernews.com/2021/06/github-updates-policy-to-remove-
exploit.html

dates-policy-to-remove-
exploit.html

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传编辑

阶段一:基础入门

img外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

程序员小肖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值