GitHub新規：可托管安全漏洞和惡意程序代碼

一個(gè)月前，GitHub 開(kāi)始和社區討論對安全研究、惡意軟件和漏洞相關(guān)政策的調整，目的是啟用、歡迎和鼓勵 GitHub 上雙重用途安全研究和合作。這個(gè)討論得到了安全研究社區、項目維護者和開(kāi)發(fā)者的廣泛支持，他們通過(guò) pull request（PR）分享了反饋意見(jiàn)，并針對這個(gè)主題進(jìn)行了深入的探討。

GitHub 根據社區的反饋意見(jiàn)，對政策進(jìn)行了一些關(guān)鍵性變化：

● 明確允許雙重用途的安全技術(shù)和與研究漏洞、惡意軟件和漏洞有關(guān)的內容。

GitHub 表示許多安全研究項目是雙重用途的，并且對安全社區廣泛有益。我們假定這些項目有積極的意圖，并用于促進(jìn)和推動(dòng)整個(gè)生態(tài)系統的改進(jìn)。這一變化修改了之前可能被誤解為對雙重用途項目有敵意的寬泛語(yǔ)言，澄清了這類(lèi)項目是受歡迎的。

● 明確 GitHub 的相關(guān)措施

如果發(fā)現利用 GitHub 平臺進(jìn)行漏洞或惡意軟件內容交付網(wǎng)絡(luò )（cdn/' target='_blank'>CDN）的攻擊，GitHub 明確了如何以及何時(shí)中止這些行為。Github 不允許使用該平臺來(lái)直接支持造成技術(shù)損害的非法攻擊，我們進(jìn)一步將其定義為過(guò)度消耗資源、物理?yè)p壞、停機、拒絕服務(wù)或數據丟失。

● 有上訴和恢復程序

GitHub 允許用戶(hù)對限制其內容或賬戶(hù)訪(fǎng)問(wèn)的決定提出上訴。這在安全研究方面尤其重要，所以我們已經(jīng)非常清楚和直接地指出，受影響的用戶(hù)可以對針對其內容采取的行動(dòng)提出上訴。

● 相關(guān)建議

GitHub 提出了一種方法，讓各方在向GitHub報告濫用行為之前可以解決爭端。這以建議的形式出現，即利用項目的可選SECURITY.md文件來(lái)提供聯(lián)系信息以解決濫用報告。這樣可以鼓勵社區成員直接與項目維護者解決沖突，而不需要正式的 GitHub 濫用報告。

發(fā)布者：水橋丶帕露西