代码托管平台GitHub要求infosec社区对网站政策的一系列修改

人间疾苦

代码托管平台GitHub要求infosec社区对网站政策的一系列修改提供反馈，这些政策规定了员工将如何处理恶意软件并利用上传到其平台的代码。

根据拟议变动GitHub希望在哪些代码可以被认为是用于漏洞研究的代码以及在现实世界中被威胁行为者滥用的代码方面有更明确的规则。

目前，这条线是模糊的。任何人都可以在平台上上传恶意软件或利用代码，并将其指定为“安全研究”，并期望GitHub的工作人员不会再使用它。

GitHub现在要求项目所有者明确指定他们代码的性质，以及它是否可以用来伤害他人。

但更重要的是，GitHub提倡在某些情况下进行干预，并限制或删除在野外被滥用的合法漏洞研究代码。

ProxyLogon PoC崩溃的后果
GitHub今天提出的政策改革是最近一次追溯到上个月的丑闻的直接结果。

2021年3月初，gitHub的母公司微软(Microsoft)披露了一系列名为ProxyLogon的漏洞，这些漏洞正被中国政府资助的黑ke组织滥用，在全球范围内侵入Exchange服务器。

这家操作系统制造商发布了补丁，一周后，一名安全研究人员反向设计了修复程序，为ProxyLogon错误开发了概念验证代码。上传到GitHub上。

在代码上传到gitHub 6小时后，微软的安全团队介入并删除了该研究人员的代码，此举引发了全行业的强烈抗议和对微软的广泛批评。

宋大宝

这些漏洞正被中国政府资助的黑ke组织滥用