Skip to main content

GitHub 上的活跃恶意软件或攻击

成为社区的一员包括不利用社区的其他成员。 我们不允许任何人利用我们的平台直接支持造成技术损害的非法攻击,例如使用我们的平台来提供恶意可执行文件或作为攻击基础结构(例如,通过组织拒绝服务攻击或管理指挥和控制服务器)。 技术损害是指资源过度消耗、物理损坏、停机、拒绝服务或数据丢失,并且在滥用行为发生之前并没有暗示或明示任何双重目的。

请注意,GitHub 允许双重用途内容,并支持发布用于研究漏洞、恶意软件或漏洞利用的内容,因为此类内容的发布和分发具有教育价值,并为安全社区提供净收益。 我们具有积极的意图,并利用这些项目来促进和推动整个生态系统的改善。

在极少数非常普遍地滥用双重用途内容的情况下,我们可能会限制访问该特定内容实例,以破坏利用 GitHub 平台作为漏洞或恶意软件 CDN 的持续非法攻击或恶意软件活动。 大多数情况下,限制采取需要身份验证才能访问内容的形式,但作为最后的手段,可能涉及禁止访问,或者如果无法禁止访问,则完全删除(例如,当作为 Gist 发布时)。 我们还将尽可能联系项目所有者了解实施的限制。

在可行的情况下,限制是暂时的,无助于永久清除或限制该平台上的任何特定双重用途内容或该内容的副本。 尽管我们的目标是使这些罕见的限制情况成为与项目所有者的合作过程,但如果您认为您的内容受到了不适当的限制,我们也有申诉流程

为了便于项目维护者自己找到解决滥用问题的途径,在上报给 GitHub 滥用报告之前,我们建议但不要求存储库所有者在张贴可能有害的安全研究内容时采取下列步骤:

  • 在项目 README.md 文件的免责声明中或源代码注释中,清楚地标识和描述任何可能有害的内容。

  • 通过存储库中的 SECURITY.md 文件为任何第三方滥用查询提供首选联系方式(例如,“请在此存储库上为任何问题或疑虑创建议题”)。 这种联系方式允许第三方直接与项目维护者联系,并有可能解决问题,而无需提交滥用报告。

    GitHub 认为 npm 注册表是一个主要用于安装和代码运行时使用的平台,而不是用于研究的平台。