《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > GitHub刪除概念驗證漏洞利用代碼引發(fā)爭議

GitHub刪除概念驗證漏洞利用代碼引發(fā)爭議

2021-03-18
來源:安全牛
關鍵詞: github 漏洞 代碼

  近日,GitHub刪除了安全研究人員Nguyen Jang發(fā)布的概念驗證(PoC)漏洞利用代碼,該漏洞利用了最近成為業(yè)界焦點的微軟Exchange軟件漏洞。

  GitHub的決定立即引發(fā)了網(wǎng)絡安全行業(yè)的爭論,即安全研究人員何時應避免發(fā)布軟件漏洞,以及GitHub之類的軟件代碼平臺應如何管理其用戶。

  這是一個異常敏感的案例:研究人員發(fā)布的是眾多國家黑客正在利用的Exchange Server中的漏洞,分析人士擔心,網(wǎng)絡罪犯在濫用這些漏洞方面也會“不甘人后”。一些安全分析師擔心的是,研究人員Nguyen Jang發(fā)布的概念驗證漏洞可能使其他惡意攻擊者能夠利用這些漏洞。但Nguyen辯稱,發(fā)布將促使組織進行漏洞修補。

  GitHub發(fā)言人表示,刪除代碼是因為它違反了平臺禁止上傳“活動”軟件漏洞的政策。

  GitHub發(fā)言人說:“我們知道,概念驗證漏洞利用代碼的發(fā)布和分發(fā)對安全社區(qū)具有教育和研究價值,我們的目標是在利益與保持更廣泛的生態(tài)系統(tǒng)之間取得平衡?!?/p>

  但是Luta Security的首席執(zhí)行官Katie Moussouris認為,概念驗證漏洞利用代碼可能起到敦促組織修補漏洞的作用。其他分析師則反駁說,一些小型組織沒有足夠的資源來快速應用這些修復程序。

  一些安全專家說,這并非零和游戲,研究人員其實可以在不公開利用這些漏洞的情況下對其進行探索。安全公司Red Canary的研究主管Matt Graeber敦促研究人員不要發(fā)布漏洞利用代碼,而應根據(jù)他們對漏洞利用的了解,建議用戶采取防御措施。

 

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。