GitHub新政策允许移除用于攻击的PoC漏洞

GitHub上周五宣布了他们更新的社区指南，解释了该公司将如何处理他们平台上的系统漏洞代码和恶意软件样本。

该公司声明将不允许使用GitHub直接支持造成技术损害的非法攻击或恶意软件活动，并表示可能会采取措施阻止利用该平台作为漏洞利用或恶意软件内容交付网络 (CDN) 的持续攻击。

为此，用户不得上传、发布、托管或传输任何可用于交付恶意可执行文件或滥用 GitHub 作为攻击基础设施的内容，例如，通过组织拒绝服务 (DoS) 攻击或管理命令-和控制(C2)服务器。

3月份有网络安全人员上传了一个针对Microsoft Exchange ProxyLogon漏洞的概念证明漏洞(PoC)到GitHub，但不久后就收到GitHub的电子邮件，称PoC漏洞已被删除，因为它违反了GitHub使用政策。GitHub表示，他们是为了保护微软Exchange服务器，因为该漏洞正被频繁利用攻击Exchange服务器。

GitHub称，在社区发布概念证明漏洞利用的代码具有教育和研究价值，但GitHub的目标是在保持更广泛生态系统安全的同时平衡这种好处。

GitHub 发布更新指南

今年4月，GitHub向网络安全社区发布了一份“征求反馈意见”的公告，内容涉及他们针对GitHub上托管的恶意软件和漏洞的政策。经过一个月的调研，GitHub正式宣布，禁止为恶意活动托管恶意软件、充当命令和控制服务器，或用于分发恶意脚本的存储库。

但只要具有双重用户用途，就允许上传PoC漏洞和恶意软件。在恶意软件和利用系统漏洞的背景下，双重用途意味着上传的代码内容可用于共享新信息和研究，同时也可用于恶意目的。

GitHub指南中新增关键变化总结如下:

GitHub允许两用安全技术和与漏洞、恶意软件和漏洞研究相关的内容。GitHub上的许多安全研究项目都是两用的，并且对安全社区有广泛的益处。我们假定这些项目有积极的意图和使用，以促进和推动整个生态系统的改进。

GitHub已经阐明了我们将如何以及何时扰乱利用GitHub平台作为攻击或恶意内容传递网络(CDN)的持续攻击。GitHub不允许使用平台直接支持造成技术伤害的非法攻击，如过度消耗资源、物理破坏、停机、拒绝服务或数据丢失。

在政策中有直接的上诉和恢复流程。GitHub允许用户对限制其内容或帐户访问权限的决定提出上诉。因此呼吁受影响用户可以对针对其内容采取上诉。同时，在事件变得更严重之前，GitHub鼓励社区成员与项目维护者直接解决冲突。

虽然允许两用内容的出现，但新的GitHub关于PoCs和恶意软件的指导方针指出，他们保留删除两用内容(例如漏洞或恶意软件)的权利。

GitHub是一个为软件开发人员提供源代码支持和托管的平台，同时也是一个开源协作社区，通过GitHub，既可以让别人参与你的开源项目，也可以参与别人的开源项目。

现如今，开源软件代码已经成为软件世界的重要组成部分，根据 Gartner 统计，99%的组织在其IT系统中使用了开源软件代码，但同时，由开源代码引发的系统漏洞事件也愈发频繁。2019年公开披露的开源安全漏洞数较上一年增长50%，开发人员不注意下就可能在系统中引入开源代码漏洞。

开源代码是企业软件开发不可或缺的一部分，保障开源代码安全在一定基础上可以大大减少系统漏洞，因此企业应该在动态安全测试的基础上加强静态代码安全检测与开源组件成分分析，确保应用软件在网络运行环境下的安全运行。

来源：https://thehackernews.com/2021/06/github-updates-policy-to-remove-exploit.html