1 个月前,GitHub 开始和社区讨论对安全研究、恶意软件和漏洞相关政策的调整,目的是启用、欢迎和鼓励 GitHub 上双重用途安全研究和合作。这个讨论得到了安全研究社区、项目维护者和开发者的广泛支持,他们通过 pull request(PR)分享了反馈意见,并针对这个主题进行了深进的探讨。
GitHub 根据社区的反馈意见,对政策进行了一些关键性变化:
● 明确答应双重用途的安全技术和与研究漏洞、恶意软件和漏洞有关的内收留。
GitHub 表示很多安全研究项目是双重用途的,并且对安全社区广泛有益。我们假定这些项目有积极的意图,并用于促进和推动整个生态系统的改进。这一变化修改了之前可能被误解为对双重用途项目有敌意的宽泛语言,澄清了这类项目是受欢迎的。
● 明确 GitHub 的相关措施
假如发现利用 GitHub 平台进行漏洞或恶意软件内收留交付网络(CDN)的攻击,GitHub 明确了如何以及何时中止这些行为。Github 不答应使用该平台来直接支持造成技术损害的非法攻击,我们进一步将其定义为过度消耗资源、物理损坏、停机、拒尽服务或数据丢失。
● 有上诉和恢复程序
GitHub 答应用户对限制其内收留或账户访问的决定提出上诉。这在安全研究方面尤其重要,所以我们已经非常清楚和直接地指出,受影响的用户可以对针对其内收留采取的行动提出上诉。
● 相关建议
GitHub 提出了一种方法,让各方在向GitHub报告滥用行为之前可以解决争端。这以建议的形式出现,即利用项目的可选SECURITY.md文件来提供联系信息以解决滥用报告。这样可以鼓励社区成员直接与项目维护者解决冲突,而不需要正式的 GitHub 滥用报告。
