聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
上周五,GitHub 官方宣布更新关于如何处理上传到 GitHub 平台的恶意软件和 exploit 代码的网站策略。
GitHub 公司表示,“我们明确允许发布和漏洞、恶意软件以及 exploit 研究相关的军民两用安全技术和内容。我们知道 GitHub 上的很多安全研究项目为军民两用且对安全社区具有巨大好处。我们认可这些项目的积极意图和使用,提升并改进整个生态系统。”
GitHub 表示,禁止使用 GitHub 直接支持不合法的攻击或恶意软件活动,从而造成技术危害,另外表示可能采取多项措施阻断利用该平台作为 exploit 或恶意软件内容交付网络的攻击活动。
为此,GitHub 限制用户上传、发布、托管或传输任何可能传播恶意可执行文件或滥用 GitHub 作为攻击基础设施的内容,比如滥用平台发动拒绝服务攻击或管理命令和控制服务器。
GitHub 表示,“技术危害是指在滥用发生之前,没有直接或间接的军民两用目的的情况下,过度消耗资源、引发物理损害、宕机、拒绝服务或数据丢失。”
对于活跃地、大规模滥用军民两用内容的情况,GitHub 表示可能会通过认证等方式限制对这些内容的访问,而且如果其它限制措施不可行,则作为“最后的方法”,禁用或完全将其删除。GitHub 还指出,将联系相关项目所有人,说明关于这些控制的情况。
今年4月末,GitHub 开始就安全研究、恶意软件和 exploit 策略征求反馈意见,之后更新了这些变化,目的是按照更清晰的条款运营,消除围绕 “活跃有害内容“ 和 ”静态代码“的歧义,以支持安全研究。
只有在仓库或代码被直接用于活跃攻击时才会端掉 exploit 的做法是对 GitHub 策略的修订,这也是因2021年3月 GitHub 平台删除微软 Exchange PoC exploit 代码后广受批评后而做出的。
推荐阅读
详解通过 GitHub.com releases 可实施供应链攻击
17岁高中生详述如何攻破 GitHub Private Pages 并获$3.5万赏金
有人滥用 GitHub Actions在 GitHub 服务器挖掘密币,且正在蔓延
原文链接
https://thehackernews.com/2021/06/github-updates-policy-to-remove-exploit.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1073
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
