GitHub新政策允許移除用于攻擊的PoC漏洞

GitHub上周五宣布了他們更新的社區(qū)指南，解釋了該公司將如何處理他們平臺(tái)上的系統(tǒng)漏洞代碼和惡意軟件樣本。

該公司聲明將不允許使用GitHub直接支持造成技術(shù)損害的非法攻擊或惡意軟件活動(dòng)，并表示可能會(huì)采取措施阻止利用該平臺(tái)作為漏洞利用或惡意軟件內(nèi)容交付網(wǎng)絡(luò) (CDN) 的持續(xù)攻擊。為此，用戶(hù)不得上傳、發(fā)布、托管或傳輸任何可用于交付惡意可執(zhí)行文件或?yàn)E用 GitHub 作為攻擊基礎(chǔ)設(shè)施的內(nèi)容，例如，通過(guò)組織拒絕服務(wù) (DoS) 攻擊或管理命令-和控制(C2)服務(wù)器。

3月份有網(wǎng)絡(luò)安全人員上傳了一個(gè)針對(duì)Microsoft Exchange ProxyLogon漏洞的概念證明漏洞(PoC)到GitHub，但不久后就收到GitHub的電子郵件，稱(chēng)PoC漏洞已被刪除，因?yàn)樗`反了GitHub使用政策。GitHub表示，他們是為了保護(hù)微軟Exchange服務(wù)器，因?yàn)樵撀┒凑活l繁利用攻擊Exchange服務(wù)器。

GitHub稱(chēng)，在社區(qū)發(fā)布概念證明漏洞利用的代碼具有教育和研究?jī)r(jià)值，但GitHub的目標(biāo)是在保持更廣泛生態(tài)系統(tǒng)安全的同時(shí)平衡這種好處。

GitHub 發(fā)布更新指南

今年4月，GitHub向網(wǎng)絡(luò)安全社區(qū)發(fā)布了一份“征求反饋意見(jiàn)”的公告，內(nèi)容涉及他們針對(duì)GitHub上托管的惡意軟件和漏洞的政策。經(jīng)過(guò)一個(gè)月的調(diào)研，GitHub正式宣布，禁止為惡意活動(dòng)托管惡意軟件、充當(dāng)命令和控制服務(wù)器，或用于分發(fā)惡意腳本的存儲(chǔ)庫(kù)。但只要具有雙重用戶(hù)用途，就允許上傳PoC漏洞和惡意軟件。在惡意軟件和利用系統(tǒng)漏洞的背景下，雙重用途意味著上傳的代碼內(nèi)容可用于共享新信息和研究，同時(shí)也可用于惡意目的。

GitHub指南中新增關(guān)鍵變化總結(jié)如下:

GitHub允許兩用安全技術(shù)和與漏洞、惡意軟件和漏洞研究相關(guān)的內(nèi)容。GitHub上的許多安全研究項(xiàng)目都是兩用的，并且對(duì)安全社區(qū)有廣泛的益處。我們假定這些項(xiàng)目有積極的意圖和使用，以促進(jìn)和推動(dòng)整個(gè)生態(tài)系統(tǒng)的改進(jìn)。

GitHub已經(jīng)闡明了我們將如何以及何時(shí)擾亂利用GitHub平臺(tái)作為攻擊或惡意內(nèi)容傳遞網(wǎng)絡(luò)(CDN)的持續(xù)攻擊。GitHub不允許使用平臺(tái)直接支持造成技術(shù)傷害的非法攻擊，如過(guò)度消耗資源、物理破壞、停機(jī)、拒絕服務(wù)或數(shù)據(jù)丟失。

在政策中有直接的上訴和恢復(fù)流程。GitHub允許用戶(hù)對(duì)限制其內(nèi)容或帳戶(hù)訪(fǎng)問(wèn)權(quán)限的決定提出上訴。因此呼吁受影響用戶(hù)可以對(duì)針對(duì)其內(nèi)容采取上訴。同時(shí)，在事件變得更嚴(yán)重之前，GitHub鼓勵(lì)社區(qū)成員與項(xiàng)目維護(hù)者直接解決沖突。

雖然允許兩用內(nèi)容的出現(xiàn)，但新的GitHub關(guān)于PoCs和惡意軟件的指導(dǎo)方針指出，他們保留刪除兩用內(nèi)容(例如漏洞或惡意軟件)的權(quán)利。

GitHub是一個(gè)為軟件開(kāi)發(fā)人員提供源代碼支持和托管的平臺(tái)，同時(shí)也是一個(gè)開(kāi)源協(xié)作社區(qū)，通過(guò)GitHub，既可以讓別人參與你的開(kāi)源項(xiàng)目，也可以參與別人的開(kāi)源項(xiàng)目?，F(xiàn)如今，開(kāi)源軟件代碼已經(jīng)成為軟件世界的重要組成部分，根據(jù) Gartner 統(tǒng)計(jì)，99%的組織在其IT系統(tǒng)中使用了開(kāi)源軟件代碼，但同時(shí)，由開(kāi)源代碼引發(fā)的系統(tǒng)漏洞事件也愈發(fā)頻繁。2019年公開(kāi)披露的開(kāi)源安全漏洞數(shù)較上一年增長(zhǎng)50%，開(kāi)發(fā)人員不注意下就可能在系統(tǒng)中引入開(kāi)源代碼漏洞。

開(kāi)源代碼是企業(yè)軟件開(kāi)發(fā)不可或缺的一部分，保障開(kāi)源代碼安全在一定基礎(chǔ)上可以大大減少系統(tǒng)漏洞，因此企業(yè)應(yīng)該在動(dòng)態(tài)安全測(cè)試的基礎(chǔ)上加強(qiáng)靜態(tài)代碼安全檢測(cè)與開(kāi)源組件成分分析，確保應(yīng)用軟件在網(wǎng)絡(luò)運(yùn)行環(huán)境下的安全運(yùn)行。