GitHub新政引發熱議：允許託管以安全研究為目的的惡意軟體

GitHub作為超級流行的原始碼管理平臺，以其實用的功能和使用者友好的介面攀上了全球最大程式碼倉庫的位置，如今其上託管著超過8000萬原始碼庫。公司和個人都在用GitHub儲存和管理原始碼，保持軟體開發專案平穩進行。

安全研究員Nguyen Jang在3月向GitHub上傳了微軟Exchange ProxyLogon 概念驗證漏洞（PoC），不久GitHub刪除了PoC，並表示是為了保護當時被大量利用該漏洞的微軟 Exchange 伺服器。

隨即安全人員對其發起攻擊，認為GitHub 正在對合法安全研究的披露進行監管，僅僅是因為它影響了微軟的產品。

4月，GitHub 向網路安全社群發出了關於他們對託管在 GitHub 上的惡意軟體和漏洞政策的“反饋呼籲”。

近日GitHub釋出指導方針正式宣佈，禁止為惡意活動託管惡意軟體、充當命令和控制伺服器，以及用於分發惡意指令碼而建立的倉庫。然而，允許對外積極分享新資訊和安全研究等目的的 PoC 漏洞和惡意軟體。

我們明確允許安全技術，以及與研究漏洞、惡意軟體和漏洞有關的內容。我們理解 GitHub 上的許多安全研究專案是具有善意用途的，並且對安全社群廣泛有益。

我們澄清了如何以及何時可以中斷正在進行的、利用 GitHub 平臺作為漏洞或惡意軟體內容交付網路（CDN）的攻擊。我們不允許使用 GitHub 來直接支援造成技術損害的非法攻擊。

我們在這個政策中直接有一個上訴和恢復程式。我們允許使用者對限制其內容或賬戶訪問的決定提出上訴。

我們提出了一種方法，讓各方在向 GitHub 報告濫用行為之前可以解決爭端。這以建議的形式出現，即利用專案的可選 SECURITY.md 檔案來提供聯絡資訊以解決濫用報告。

GitHub 表示，他們將繼續支援社群對其政策的反饋，以繼續改進其政策。

有網友非常贊同這個舉措，認為：“各CVE的PoC或者Exploit在漏洞修復以後開源出來沒毛病。”

但是也有網友認為此政策非常危險，認為這個：“惡意軟體編譯後惡意執行怎麼辦”“會成為學習編寫惡意軟體的途徑”。

還有使用者對這個舉措，提出了自己的疑問：“那如何界定是否以安全為目的呢？”“會不會造成開源社群出現病毒木馬呢？”

針對GitHub的這項舉措，你怎麼看呢？

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com