Skip to main content

GitHub 活动的恶意软件或漏洞利用

作为社区的一部分,包括不利用社区的其他成员。 我们不允许任何人利用我们的平台直接支持造成技术损害的非法攻击, 例如利用 GitHub 作为提供恶意可执行文件的方式或作为攻击基础架构, 例如,组织拒绝服务攻击或管理命令和控制服务器。 技术损害是指资源过度消耗、物理损坏、停机、拒绝服务或数据丢失,在滥用之前没有隐含或明确的双重用途。

请注意,GitHub 允许双重用途内容,并支持发布用于研究漏洞、恶意软件或漏洞的内容,因为此类内容的发布和分发具有教育价值,并为安全社区提供净收益。 我们具有积极的意图,并利用这些项目来促进和推动整个生态系统的改善。

在极少数非常普遍地滥用两用内容的情况下,我们可能会限制访问该特定内容实例,以破坏利用 GitHub 平台作为漏洞或恶意软件 CDN 的持续非法攻击或恶意软件活动。 在大多数情况下,限制采取将内容置于身份验证背后的形式,但作为最后手段,可能涉及禁用访问或在不可能的情况下完全删除(例如,当作为 Gist 发布时)。 我们还将尽可能联系项目所有者了解实施的限制。

在可行的情况下,限制是暂时的,无助于永久清除或限制该平台上的任何特定两用内容或该内容的副本。 尽管我们的目标是使这些罕见的限制情况成为与项目所有者的合作过程,但如果您认为您的内容受到了不适当的限制,我们也有申诉流程

为了便于项目维护者自己找到解决滥用问题的途径,在上报给 GitHub 滥用报告之前,我们建议但不要求仓库所有者在张贴可能有害的安全研究内容时采取下列步骤:

  • 在项目的 README.md 文件或源代码评论中,清楚地识别和描述任何可能有害的内容。

  • 通过仓库中的 SECURITY.md 文件为任何第三方滥用查询提供首选的联系方式(例如,“请在此仓库上为任何问题或疑虑创建议题”)。 这种联系方式允许第三方直接与项目维护者联系,并有可能解决问题,而无需提交滥用报告。

    GitHub 认为 npm 注册表是一个主要用于安装和代码运行时使用的平台,而不是用于研究的平台。