北京哪家治疗白癜风正规 https://wapjbk.39.net/yiyuanzaixian/bjzkbdfyy/

TOP5

6月7日全球信安资讯

1

GitHub更新策略以删除在主动攻击中使用的漏洞代码

信源：securityaffairs

代码托管平台GitHubFriday正式宣布了对该网站政策的一系列更新，这些政策深入研究了该公司如何处理上传到其服务的恶意软件和漏洞利用代码。

“我们明确允许与漏洞、恶意软件和漏洞研究相关的双重用途安全技术和内容，”这家微软旗下的公司表示。“我们知道GitHub上的许多安全研究项目都是双重用途，并且对安全社区广泛有益。我们假设这些项目的积极意图和用途将促进和推动整个生态系统的改进。”

该公司表示将不允许使用GitHub来直接支持造成技术损害的非法攻击或恶意软件活动，并表示可能会采取措施破坏利用该平台作为漏洞利用或恶意软件内容交付网络(CDN)的持续攻击。）。

为此，用户不得上传、发布、托管或传输任何可用于交付恶意可执行文件或滥用GitHub作为攻击基础设施的内容，例如，通过组织拒绝服务(DoS)攻击或管理命令-和控制（C2）服务器。

“技术危害意味着过度消耗资源、物理损坏、停机、拒绝服务或数据丢失，在滥用发生之前没有隐含或明确的双重用途，”GitHub说。

GitHub黑客政策

在双重用途内容被广泛滥用的情况下，该公司表示可能会通过将其置于身份验证障碍之后来限制对此类内容的访问，并且作为“最后的手段”，禁用访问或在其他限制时完全删除它措施不可行。GitHub还指出，它将在可能的情况下联系相关项目所有者以了解实施的控制措施。

在公司于4月下旬开始就其平台上的安全研究、恶意软件和漏洞利用政策征求反馈意见后，这些变化生效，目标是在一套更清晰的条款下运营，消除围绕“积极有害”的歧义内容”和“静态代码”以支持安全研究。

除非有问题的存储库或代码被直接合并到活动中，否则不会删除漏洞利用，GitHub政策的修订也是在概念验证(PoC)漏洞利用代码之后受到广泛批评的直接结果已于年3月从平台中删除。

该代码由安全研究人员上传，涉及微软披露的名为ProxyLogon的安全漏洞，这些漏洞正被中国政府资助的黑客组织滥用，以破坏全球Exchange服务器。GitHub当时表示，它根据其可接受的使用政策删除了PoC，理由是其中包含“最近披露的一个正在被积极利用的漏洞的代码”。

2

美国CISA发布指南更好地使用MITREATTCK框架

信源：bleeping