近日,GitHub删除了安全研究员NguyenJang发布的概念验证(PoC)漏洞利用代码,该代码利用了近期成为焦点的MicrosoftExchange软件漏洞的行业。GitHub的决定立即在网络安全行业引发争论,讨论安全研究人员何时应避免发布软件漏洞,以及GitHub等软件代码平台应如何管理其用户。这是一个异常敏感的案例:研究人员发布了ExchangeServer中的漏洞,许多国家的黑客都在利用这些漏洞,分析人士担心网络犯罪分子不会留下来滥用这些漏洞。一些安全分析师担心研究员NguyenJang发布的概念验证漏洞可能会让其他恶意行为者利用它们。但Nguyen认为,该版本将促使组织修补这些漏洞。GitHub发言人表示,该代码已被删除,因为它违反了该平台禁止上传“活跃”软件漏洞的政策。GitHub发言人说:“我们知道概念验证漏洞代码的发布和分发对安全社区具有教育和研究价值,我们的目标是平衡这种利益与维护更广泛的生态系统。”但LutaSecurity的首席执行官KatieMoussouris认为,概念验证利用代码可以激励组织修补漏洞。其他分析师反驳说,一些较小的组织没有资源来快速应用修复程序。一些安全专家表示,这不是零和游戏,研究人员可以在不公开利用漏洞的情况下实际探索这些漏洞。安全公司RedCanary的研究主管马特格雷伯敦促研究人员不要发布漏洞利用代码,而是建议用户根据他们对漏洞利用的了解采取防御措施。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
