GitHub删除概念验证漏洞利用代码引发争议

  • A+
所属分类:安全闲碎

点击蓝字关注我们




GitHub删除概念验证漏洞利用代码引发争议


近日,GitHub删除了安全研究人员Nguyen Jang发布的概念验证(PoC)漏洞利用代码,该漏洞利用了最近成为业界焦点的微软Exchange软件漏洞。


GitHub的决定立即引发了网络安全行业的争论,即安全研究人员何时应避免发布软件漏洞,以及GitHub之类的软件代码平台应如何管理其用户。


这是一个异常敏感的案例:研究人员发布的是众多国家黑客正在利用的Exchange Server中的漏洞,分析人士担心,网络罪犯在滥用这些漏洞方面也会“不甘人后”。一些安全分析师担心的是,研究人员Nguyen Jang发布的概念验证漏洞可能使其他恶意攻击者能够利用这些漏洞。但Nguyen辩称,发布将促使组织进行漏洞修补。


GitHub发言人表示,删除代码是因为它违反了平台禁止上传“活动”软件漏洞的政策。


GitHub发言人说:“我们知道,概念验证漏洞利用代码的发布和分发对安全社区具有教育和研究价值,我们的目标是在利益与保持更广泛的生态系统之间取得平衡。”  


但是Luta Security的首席执行官Katie Moussouris认为,概念验证漏洞利用代码可能起到敦促组织修补漏洞的作用。其他分析师则反驳说,一些小型组织没有足够的资源来快速应用这些修复程序。


一些安全专家说,这并非零和游戏,研究人员其实可以在不公开利用这些漏洞的情况下对其进行探索。安全公司Red Canary的研究主管Matt Graeber敦促研究人员不要发布漏洞利用代码,而应根据他们对漏洞利用的了解,建议用户采取防御措施。


GitHub删除概念验证漏洞利用代码引发争议


相关阅读

是时候重视GitHub的安全威胁了

2019年开放源代码漏洞激增50%

应用安全调查:半数企业有意识发布有漏洞代码


GitHub删除概念验证漏洞利用代码引发争议

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]





GitHub删除概念验证漏洞利用代码引发争议

本文始发于微信公众号(安全牛):GitHub删除概念验证漏洞利用代码引发争议

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: