对我们的漏洞,恶意软件和漏洞研究的策略更新

Mike Hanley的形象

一个月前,我们开始讨论与社区有关拟议修订的,以澄清Github对安全研究,恶意软件和利用的政策,以实现,欢迎和鼓励在GitHub上进行双重使用安全研究和协作。我们要感谢更广泛的安全研究社区,项目维护者和开发人员,他们公开地与美国共享了反馈拉请求(PR)谁致力于对这一主题的更深层次的讨论。反馈和建议,既有实质内容和建议的变化,以及我们如何传达变化,在整个过程中都是非常有价值的,并帮助我们更好地澄清我们的政策。

今天,随着评论期结束,我们有合并最新的PR和响应的最新修订社区反馈,更新了一些关键更改的策略:

  • 我们明确允许与研究相关的双重使用安全技术和内容,以研究漏洞,恶意软件和利用。我们了解,GitHub上的许多安全研究项目是双重使用的,并对安全社区广泛利用。我们假设积极的意图和使用这些项目,以促进和推动生态系统的改进。这种变化修改以前的广泛语言可能被误解为敌对双用途的敌对,澄清了这些项目是受欢迎的。
  • 我们澄清了如何以及何时可以扰乱利用Github平台作为利用或恶意软件内容交付网络(CDN)的持续攻击。我们不允许使用GitHub直接支持造成技术损害的非法攻击,这进一步被定义为资源过度限制,物理损坏,停机时间,拒绝服务或数据丢失。
  • 我们明确表示,我们在本政策中直接上诉和恢复过程。我们允许用户吸引措施限制其内容或帐户访问权限。这在安全研究环境中尤为重要,因此我们非常清楚,直接呼吁受影响用户对其内容采取的上诉行动。
  • 我们建议缔约方可以在升级和向Github报告滥用之前解决争议的方法。这将以建议的形式出现,以利用可选的Security.MD文件来为项目提供联系信息以解决滥用报告。这鼓励我们的社区成员与项目维护者直接解决冲突,而无需正式的GitHub滥用报告。


我们再次感谢你们每个人都花时间考虑,讨论和分享。迭代过程使我们通过基于社区反馈的每轮变化来提高我们的意图的清晰度,并为自己的双用内容建立更清晰的指南,以便向前移动。我们继续欢迎各种反馈和改进网站政策并期待与社区共同努力,继续推动这个空间的改进。