GitHub更新策略，在用于主动攻击时删除攻击代码

代码托管平台GitHub周五正式宣布对该网站的政策进行了一系列更新，深入研究该公司如何处理恶意软件和利用上传到其服务的代码进行攻击。

“我们明确允许与漏洞、恶意软件和漏洞研究相关的两用安全技术和内容，”这家微软所有的公司说。“我们了解GitHub上的许多安全研究项目是两用的，对安全社区有广泛的好处。我们认为这些项目的积极意图和用途是促进和推动整个生态系统的改进。”

该公司表示，将不允许使用GitHub直接支持造成技术伤害的非法攻击或恶意软件活动，并表示可能会采取措施，破坏利用该平台进行攻击或恶意软件内容交付网络（CDN）的持续攻击。

为此，禁止用户上传、发布、托管或传输任何可用于交付恶意可执行文件或滥用GitHub作为攻击基础设施的内容，例如组织拒绝服务（DoS）攻击或管理指挥与控制（C2）服务器。

GitHub说：“技术危害是指过度消耗资源、物理损坏、停机、拒绝服务或数据丢失，在滥用发生之前没有隐含或明确的双重用途。”。

该公司表示，在出现频繁、广泛滥用两用内容的情况下，它可能会通过设置身份验证壁垒来限制对此类内容的访问，并作为“最后手段”，在其他限制措施不可行时，禁用访问或将其完全删除。GitHub还指出，它将联系相关的项目所有者，尽可能了解实施的控制措施。

这些变化是在该公司于4月底开始就其关于平台安全研究、恶意软件和漏洞利用的政策征求反馈意见后生效的，目的是在一套更明确的条款下运营，以消除围绕“积极有害内容”和“静止代码”的模糊性，从而支持安全研究。

By not taking down exploits unless the repository or code in question is incorporated directly into an active campaign, the revision to GitHub's policies is also a direct result of widespread criticism that followed in the aftermath of a proof-of-concept (PoC) exploit code that was removed from the platform in March 2021.

该代码由一名安全研究人员上传，涉及一系列被称为ProxyLogon的安全漏洞，微软披露，这些漏洞正被中国国家资助的黑客组织滥用，在全球范围内入侵Exchange服务器。GitHub当时表示，它根据其可接受的使用政策删除了PoC，理由是其中包含“最近披露的一个正在被积极利用的漏洞”的代码