近日,GitHub删除安全研究人员Nguyen Jang发布的概念验证(PoC)漏洞使用代码,最近成为行业焦点的微软Exchange软件漏洞。
GitHub该决定立即引发了 *** 安全行业的争论,即安全研究人员何时应避免发布软件漏洞,以及GitHub如何管理其用户等软件代码平台。
这是一个非常敏感的案例:研究人员发布了许多黑客正在使用的国家Exchange Server分析人士担心, *** 罪犯也会滥用这些漏洞“不甘人后”。一些安全分析师担心研究人员Nguyen Jang发布的概念验证漏洞可能会使其他恶意攻击者利用这些漏洞。Nguyen辩称,发布将促使组织修复漏洞。
GitHub发言人说,删除代码是因为它违反了平台,禁止上传“活动”软件漏洞政策。
GitHub发言人说:“我们知道,利用代码发布和分发的概念验证漏洞对安全社区具有教育和研究价值,我们的目标是在利益和更广泛的生态系统之间取得平衡。”
但是Luta Security首席执行官Katie Moussouris概念验证漏洞使用代码可能会敦促组织修复漏洞。其他分析师反驳说,一些小组织没有足够的资源快速应用这些修复程序。
一些安全专家说,这不是零和游戏,研究人员可以在不公开利用这些漏洞的情况下探索。安全公司Red Canary的研究主管Matt Graeber敦促研究人员不要发布漏洞使用代码,而是建议用户根据他们对漏洞使用的理解采取防御措施。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章