GitHub在面临安全研究人员的批评后,更新了其关于托管漏洞PoC的政策,现在允许为了安全研究目的分享PoC,但禁止恶意活动相关的仓库。这一改变是在微软ExchangeProxyLogon漏洞事件后发生的,该事件引发了关于GitHub如何平衡安全披露和防止恶意利用的讨论。
安全研究员 Nguyen Jang 在 3 月向 GitHub 上传了一个概念验证漏洞(PoC),该漏洞是微软 Exchange ProxyLogon 漏洞。在上传该漏洞后不久,Jang 就收到了一封来自 GitHub 的电子邮件,称 PoC 漏洞因违反可接受的使用政策而被删除。在声明中,GitHub 表示他们删除了 PoC,以保护当时被大量利用该漏洞的微软 Exchange 服务器。优品拍拍
然而,GitHub 立即面临了来自安全研究人员的反击,他们认为 GitHub 正在对合法安全研究的披露进行监管,仅仅是因为它影响了微软的产品。
GitHub 发布了最新的指导方针
4月,GitHub 向网络安全社区发出了关于他们对托管在 GitHub 上的恶意软件和漏洞政策的 "反馈呼吁"。
经过了一个多月时间的讨论,GitHub 正式宣布,禁止为恶意活动托管恶意软件、充当命令和控制服务器,以及用于分发恶意脚本而创建的仓库。然而,对外积极分享新信息和安全研究等目的的 PoC 漏洞和恶意软件是被允许的。
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
