聲明：該文章由作者（孔秀）發(fā)表，轉載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

1 個月前，GitHub 開始和社區(qū)討論對安全研究、惡意軟件和漏洞相關政策的調(diào)整，目的是啟用、歡迎和鼓勵 GitHub 上雙重用途安全研究和合作。這個討論得到了安全研究社區(qū)、項目維護者和開發(fā)者的廣泛支持，他們通過 pull request（PR）分享了反饋意見，并針對這個主題進行了深入的探討。

GitHub 根據(jù)社區(qū)的反饋意見，對政策進行了一些關鍵性變化：

● 明確允許雙重用途的安全技術和與研究漏洞、惡意軟件和漏洞有關的內(nèi)容。

GitHub 表示許多安全研究項目是雙重用途的，并且對安全社區(qū)廣泛有益。我們假定這些項目有積極的意圖，并用于促進和推動整個生態(tài)系統(tǒng)的改進。這一變化修改了之前可能被誤解為對雙重用途項目有敵意的寬泛語言，澄清了這類項目是受歡迎的。

● 明確 GitHub 的相關措施

如果發(fā)現(xiàn)利用 GitHub 平臺進行漏洞或惡意軟件內(nèi)容交付網(wǎng)絡（CDN）的攻擊，GitHub 明確了如何以及何時中止這些行為。Github 不允許使用該平臺來直接支持造成技術損害的非法攻擊，我們進一步將其定義為過度消耗資源、物理損壞、停機、拒絕服務或數(shù)據(jù)丟失。

● 有上訴和恢復程序

GitHub 允許用戶對限制其內(nèi)容或賬戶訪問的決定提出上訴。這在安全研究方面尤其重要，所以我們已經(jīng)非常清楚和直接地指出，受影響的用戶可以對針對其內(nèi)容采取的行動提出上訴。

● 相關建議

GitHub 提出了一種方法，讓各方在向GitHub報告濫用行為之前可以解決爭端。這以建議的形式出現(xiàn)，即利用項目的可選SECURITY.md文件來提供聯(lián)系信息以解決濫用報告。這樣可以鼓勵社區(qū)成員直接與項目維護者解決沖突，而不需要正式的 GitHub 濫用報告。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/