一個(gè)月前，GitHub 開(kāi)始和社區(qū)討論對(duì)安全研究、惡意軟件和漏洞相關(guān)政策的調(diào)整，目的是啟用、歡迎和鼓勵(lì) GitHub 上雙重用途安全研究和合作。這個(gè)討論得到了安全研究社區(qū)、項(xiàng)目維護(hù)者和開(kāi)發(fā)者的廣泛支持，他們通過(guò) pull request（PR）分享了反饋意見(jiàn)，并針對(duì)這個(gè)主題進(jìn)行了深入的探討。

GitHub 根據(jù)社區(qū)的反饋意見(jiàn)，對(duì)政策進(jìn)行了一些關(guān)鍵性變化：

● 明確允許雙重用途的安全技術(shù)和與研究漏洞、惡意軟件和漏洞有關(guān)的內(nèi)容。

GitHub 表示許多安全研究項(xiàng)目是雙重用途的，并且對(duì)安全社區(qū)廣泛有益。我們假定這些項(xiàng)目有積極的意圖，并用于促進(jìn)和推動(dòng)整個(gè)生態(tài)系統(tǒng)的改進(jìn)。這一變化修改了之前可能被誤解為對(duì)雙重用途項(xiàng)目有敵意的寬泛語(yǔ)言，澄清了這類(lèi)項(xiàng)目是受歡迎的。

● 明確 GitHub 的相關(guān)措施

如果發(fā)現(xiàn)利用 GitHub 平臺(tái)進(jìn)行漏洞或惡意軟件內(nèi)容交付網(wǎng)絡(luò)（CDN）的攻擊，GitHub 明確了如何以及何時(shí)中止這些行為。Github 不允許使用該平臺(tái)來(lái)直接支持造成技術(shù)損害的非法攻擊，我們進(jìn)一步將其定義為過(guò)度消耗資源、物理?yè)p壞、停機(jī)、拒絕服務(wù)或數(shù)據(jù)丟失。

● 有上訴和恢復(fù)程序

GitHub 允許用戶(hù)對(duì)限制其內(nèi)容或賬戶(hù)訪問(wèn)的決定提出上訴。這在安全研究方面尤其重要，所以我們已經(jīng)非常清楚和直接地指出，受影響的用戶(hù)可以對(duì)針對(duì)其內(nèi)容采取的行動(dòng)提出上訴。

● 相關(guān)建議

GitHub 提出了一種方法，讓各方在向GitHub報(bào)告濫用行為之前可以解決爭(zhēng)端。這以建議的形式出現(xiàn)，即利用項(xiàng)目的可選SECURITY.md文件來(lái)提供聯(lián)系信息以解決濫用報(bào)告。這樣可以鼓勵(lì)社區(qū)成員直接與項(xiàng)目維護(hù)者解決沖突，而不需要正式的 GitHub 濫用報(bào)告。