1 個月前,GitHub 開始和社區討論對安全研究、惡意軟件和漏洞相關政策的調整,目的是啟用、歡迎和鼓勵 GitHub 上雙重用途安全研究和合作。這個討論得到了安全研究社區、項目維護者和開發者的廣泛支持,他們通過 pull request(PR)分享了反饋意見,並針對這個主題進行了深入的探討。
GitHub 根據社區的反饋意見,對政策進行了一些關鍵性變化:
● 明確允許雙重用途的安全技術和與研究漏洞、惡意軟件和漏洞有關的內容。
GitHub 表示許多安全研究項目是雙重用途的,並且對安全社區廣泛有益。我們假定這些項目有積極的意圖,並用於促進和推動整個生態系統的改進。這一變化修改了之前可能被誤解為對雙重用途項目有敵意的寬泛語言,澄清了這類項目是受歡迎的。
● 明確 GitHub 的相關措施
如果發現利用 GitHub 平台進行漏洞或惡意軟件內容交付網絡(CDN)的攻擊,GitHub 明確了如何以及何時中止這些行為。Github 不允許使用該平台來直接支持造成技術損害的非法攻擊,我們進一步將其定義為過度消耗資源、物理損壞、停機、拒絕服務或數據丟失。
● 有上訴和恢復程序
GitHub 允許用戶對限制其內容或賬戶訪問的決定提出上訴。這在安全研究方面尤其重要,所以我們已經非常清楚和直接地指出,受影響的用戶可以對針對其內容採取的行動提出上訴。
● 相關建議
GitHub 提出了一種方法,讓各方在向GitHub報告濫用行為之前可以解決爭端。這以建議的形式出現,即利用項目的可選SECURITY.md文件來提供聯繫信息以解決濫用報告。這樣可以鼓勵社區成員直接與項目維護者解決衝突,而不需要正式的 GitHub 濫用報告。