编码平台明确允许概念证明利用证明
github已经更新了其关于恶意软件的政策和利用研究,以使平台更适合漏洞猎人。
这政策更改意味着明确允许在GitHub上进行双重使用安全研究和协作。
GitHub保留了破坏任何试图在主动利用中滥用其平台的尝试的能力恶意软件交付活动。
实际上,这意味着发布概念证明的利用或漏洞Github将被允许甚至鼓励,但是如果发生任何渎职行为,将获得此许可。
如果在github上托管的代码导致停机时间,拒绝服务,或数据丢失,然后将提取有问题的代码。同样的策略将适用于任何活动的恶意软件吊带或利用滥用活动。
Github引入了上诉和恢复过程来处理任何争议。编码人员聚会者希望安全研究人员将其联系信息包括在可选的security.md档案,以便相关各方可以在升级并报告Github的任何可疑滥用之前试图解决争议。
GitHub的政策变更于周五宣布,与社区进行了数周的磋商之后,发射在四月份。
Pricrivacy的数字隐私专家雷·沃尔什(Ray Walsh)告诉每日swbeplay2018官网igGitHub对利用,恶意软件和漏洞研究的政策更新“旨在阐明现有政策,而不是引入新政策”。
沃尔什解释说:“社区告知政策变更有助于消除围绕以前可能被认为侵犯的代码的灰色区域和混乱。”
“ Github现在进一步阐明了'双重使用'技术对安全实践有帮助,例如渗透测试,被认为足够至关重要,可以托管在平台上。”
沃尔什(Walsh)得出结论:“有可能将其用于邪恶目的的开源工具通常具有有效的用例,很高兴看到Github与社区合作澄清为什么以及何时可以托管代码,以及如何提出上诉,如果是如何提出上诉被认为具有有益应用的内容已受到不必要或不公平的限制。”
