GitHub作為超級(jí)流行的源代碼管理平臺(tái)，以其實(shí)用的功能和用戶友好的界面攀上了全球最大代碼倉(cāng)庫(kù)的位置，如今其上托管著超過(guò)8000萬(wàn)源代碼庫(kù)。公司和個(gè)人都在用GitHub存儲(chǔ)和管理源代碼，保持軟件開(kāi)發(fā)項(xiàng)目平穩(wěn)進(jìn)行。

　　安全研究員Nguyen Jang在3月向GitHub上傳了微軟Exchange ProxyLogon 概念驗(yàn)證漏洞（PoC），不久GitHub刪除了PoC，并表示是為了保護(hù)當(dāng)時(shí)被大量利用該漏洞的微軟 Exchange 服務(wù)器。

　　隨即安全人員對(duì)其發(fā)起攻擊，認(rèn)為GitHub 正在對(duì)合法安全研究的披露進(jìn)行監(jiān)管，僅僅是因?yàn)樗绊懥宋④浀漠a(chǎn)品。

　　4月，GitHub 向網(wǎng)絡(luò)安全社區(qū)發(fā)出了關(guān)于他們對(duì)托管在 GitHub 上的惡意軟件和漏洞政策的“反饋呼吁”。

　　近日GitHub發(fā)布指導(dǎo)方針正式宣布，禁止為惡意活動(dòng)托管惡意軟件、充當(dāng)命令和控制服務(wù)器，以及用于分發(fā)惡意腳本而創(chuàng)建的倉(cāng)庫(kù)。然而，允許對(duì)外積極分享新信息和安全研究等目的的 PoC 漏洞和惡意軟件。

　　我們明確允許安全技術(shù)，以及與研究漏洞、惡意軟件和漏洞有關(guān)的內(nèi)容。我們理解 GitHub 上的許多安全研究項(xiàng)目是具有善意用途的，并且對(duì)安全社區(qū)廣泛有益。

　　我們澄清了如何以及何時(shí)可以中斷正在進(jìn)行的、利用 GitHub 平臺(tái)作為漏洞或惡意軟件內(nèi)容交付網(wǎng)絡(luò)（CDN）的攻擊。我們不允許使用 GitHub 來(lái)直接支持造成技術(shù)損害的非法攻擊。

　　我們?cè)谶@個(gè)政策中直接有一個(gè)上訴和恢復(fù)程序。我們?cè)试S用戶對(duì)限制其內(nèi)容或賬戶訪問(wèn)的決定提出上訴。

　　我們提出了一種方法，讓各方在向 GitHub 報(bào)告濫用行為之前可以解決爭(zhēng)端。這以建議的形式出現(xiàn)，即利用項(xiàng)目的可選 SECURITY.md 文件來(lái)提供聯(lián)系信息以解決濫用報(bào)告。

　　GitHub 表示，他們將繼續(xù)支持社區(qū)對(duì)其政策的反饋，以繼續(xù)改進(jìn)其政策。

　　有網(wǎng)友非常贊同這個(gè)舉措，認(rèn)為：“各CVE的PoC或者Exploit在漏洞修復(fù)以后開(kāi)源出來(lái)沒(méi)毛病。”

　　但是也有網(wǎng)友認(rèn)為此政策非常危險(xiǎn)，認(rèn)為這個(gè)：“惡意軟件編譯后惡意運(yùn)行怎么辦”“會(huì)成為學(xué)習(xí)編寫(xiě)惡意軟件的途徑”。

　　還有用戶對(duì)這個(gè)舉措，提出了自己的疑問(wèn)：“那如何界定是否以安全為目的呢？”“會(huì)不會(huì)造成開(kāi)源社區(qū)出現(xiàn)病毒木馬呢？”

　　針對(duì)GitHub的這項(xiàng)舉措，你怎么看呢？