《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > GitHub新政引發(fā)熱議:允許托管以安全研究為目的的惡意軟件

GitHub新政引發(fā)熱議:允許托管以安全研究為目的的惡意軟件

2021-06-08
來(lái)源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
關(guān)鍵詞: github 托管 惡意軟件

  微信圖片_20210608224241.jpg

GitHub作為超級(jí)流行的源代碼管理平臺(tái),以其實(shí)用的功能和用戶友好的界面攀上了全球最大代碼倉(cāng)庫(kù)的位置,如今其上托管著超過(guò)8000萬(wàn)源代碼庫(kù)。公司和個(gè)人都在用GitHub存儲(chǔ)和管理源代碼,保持軟件開(kāi)發(fā)項(xiàng)目平穩(wěn)進(jìn)行。

  安全研究員Nguyen Jang在3月向GitHub上傳了微軟Exchange ProxyLogon 概念驗(yàn)證漏洞(PoC),不久GitHub刪除了PoC,并表示是為了保護(hù)當(dāng)時(shí)被大量利用該漏洞的微軟 Exchange 服務(wù)器。

  隨即安全人員對(duì)其發(fā)起攻擊,認(rèn)為GitHub 正在對(duì)合法安全研究的披露進(jìn)行監(jiān)管,僅僅是因?yàn)樗绊懥宋④浀漠a(chǎn)品。

  4月,GitHub 向網(wǎng)絡(luò)安全社區(qū)發(fā)出了關(guān)于他們對(duì)托管在 GitHub 上的惡意軟件和漏洞政策的“反饋呼吁”。

  近日GitHub發(fā)布指導(dǎo)方針正式宣布,禁止為惡意活動(dòng)托管惡意軟件、充當(dāng)命令和控制服務(wù)器,以及用于分發(fā)惡意腳本而創(chuàng)建的倉(cāng)庫(kù)。然而,允許對(duì)外積極分享新信息和安全研究等目的的 PoC 漏洞和惡意軟件。

  我們明確允許安全技術(shù),以及與研究漏洞、惡意軟件和漏洞有關(guān)的內(nèi)容。我們理解 GitHub 上的許多安全研究項(xiàng)目是具有善意用途的,并且對(duì)安全社區(qū)廣泛有益。

  我們澄清了如何以及何時(shí)可以中斷正在進(jìn)行的、利用 GitHub 平臺(tái)作為漏洞或惡意軟件內(nèi)容交付網(wǎng)絡(luò)(CDN)的攻擊。我們不允許使用 GitHub 來(lái)直接支持造成技術(shù)損害的非法攻擊。

  我們?cè)谶@個(gè)政策中直接有一個(gè)上訴和恢復(fù)程序。我們?cè)试S用戶對(duì)限制其內(nèi)容或賬戶訪問(wèn)的決定提出上訴。

  我們提出了一種方法,讓各方在向 GitHub 報(bào)告濫用行為之前可以解決爭(zhēng)端。這以建議的形式出現(xiàn),即利用項(xiàng)目的可選 SECURITY.md 文件來(lái)提供聯(lián)系信息以解決濫用報(bào)告。

  GitHub 表示,他們將繼續(xù)支持社區(qū)對(duì)其政策的反饋,以繼續(xù)改進(jìn)其政策。

  有網(wǎng)友非常贊同這個(gè)舉措,認(rèn)為:“各CVE的PoC或者Exploit在漏洞修復(fù)以后開(kāi)源出來(lái)沒(méi)毛病。”

  但是也有網(wǎng)友認(rèn)為此政策非常危險(xiǎn),認(rèn)為這個(gè):“惡意軟件編譯后惡意運(yùn)行怎么辦”“會(huì)成為學(xué)習(xí)編寫(xiě)惡意軟件的途徑”。

  還有用戶對(duì)這個(gè)舉措,提出了自己的疑問(wèn):“那如何界定是否以安全為目的呢?”“會(huì)不會(huì)造成開(kāi)源社區(qū)出現(xiàn)病毒木馬呢?”

  針對(duì)GitHub的這項(xiàng)舉措,你怎么看呢?




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 久久综合色网 | 国产人成免费视频 | 免费在线你懂的 | 在线亚洲欧洲国产综合444 | 91精品国产乱码久久久久久 | 大伊香蕉在线精品视频人碰人 | 午夜影院男女 | 国产一级久久久久久毛片 | 亚洲欧美日韩国产精品26u | 欧美 日本| 一级特黄a 大片免费 | 一本色道久久综合亚洲精品高清 | 亚洲欧洲视频在线观看 | 日本高清h色视频在线观看 日本妇人成熟免费观看18 | 看全色黄大色黄女片18 | 噜噜噜噜私人影院av线观看 | 午夜看片网| 色视频网站在线观看 | 欧美成a人免费观看 | 欧美一区二区在线观看视频 | 毛片又大又粗又长又硬 | 亚洲熟乱 | 日韩欧美h | 天天激情综合 | 在线视免费频观看韩国aaa | 韩国伦理片手机在线观看 | 国产一区二区三区在线看片 | 最近2019高清中文字幕 | 亚洲欧美日韩中另类在线 | 国产精品日本一区二区不卡视频 | 91精品观看91久久久久久 | 人人鲁免费播放视频人人香蕉 | 久久乐播 | 福利所导航导航导航导航 | 午夜激情免费 | 欧美日韩网站 | 日韩一区二区三区在线观看 | 看毛片看毛片 | 99成人在线视频 | 黄色网址最新 | 92看片淫黄大片看国产片 |