Exploit 代码用于攻击中？GitHub 马上删除

GitHub 公司表示，“我们明确允许发布和漏洞、恶意软件以及 exploit 研究相关的军民两用安全技术和内容。我们知道 GitHub 上的很多安全研究项目为军民两用且对安全社区具有巨大好处。我们认可这些项目的积极意图和使用，提升并改进整个生态系统。”

GitHub 表示，禁止使用 GitHub 直接支持不合法的攻击或恶意软件活动，从而造成技术危害，另外表示可能采取多项措施阻断利用该平台作为 exploit 或恶意软件内容交付网络的攻击活动。

为此，GitHub 限制用户上传、发布、托管或传输任何可能传播恶意可执行文件或滥用 GitHub 作为攻击基础设施的内容，比如滥用平台发动拒绝服务攻击或管理命令和控制服务器。

GitHub 表示，“技术危害是指在滥用发生之前，没有直接或间接的军民两用目的的情况下，过度消耗资源、引发物理损害、宕机、拒绝服务或数据丢失。”

对于活跃地、大规模滥用军民两用内容的情况，GitHub 表示可能会通过认证等方式限制对这些内容的访问，而且如果其它限制措施不可行，则作为“最后的方法”，禁用或完全将其删除。GitHub 还指出，将联系相关项目所有人，说明关于这些控制的情况。

今年4月末，GitHub 开始就安全研究、恶意软件和 exploit 策略征求反馈意见，之后更新了这些变化，目的是按照更清晰的条款运营，消除围绕 “活跃有害内容“ 和 ”静态代码“的歧义，以支持安全研究。

只有在仓库或代码被直接用于活跃攻击时才会端掉 exploit 的做法是对 GitHub 策略的修订，这也是因2021年3月 GitHub 平台删除微软 Exchange PoC exploit 代码后广受批评后而做出的。