Skip to main content

Aktive Malware oder Exploits auf GitHub

Teil einer Gemeinschaft zu sein bedeutet, andere Mitglieder der Gemeinschaft nicht auszunutzen. Wir gestatten niemandem, unsere Plattform zur unmittelbaren Unterstützung rechtswidriger Angriffe zu nutzen, die technische Schäden verursachen, wie z. B. die Verwendung von GitHub als Mittel zur Bereitstellung bösartiger ausführbarer Dateien oder als Angriffsinfrastruktur, z. B. durch die Organisation von Denial-of-Service-Angriffen oder die Verwaltung von Command-and-Control-Servern. Technische Schäden sind übermäßiger Ressourcenverbrauch, physische Schäden, Ausfallzeiten, Dienstverweigerung oder Datenverlust ohne impliziten oder expliziten Dual-Use-Zweck vor dem Auftreten des Missbrauchs.

Beachten Sie, dass GitHub Dual-Use-Inhalte zulässt und das Posten von Inhalten unterstützt, die für die Erforschung von Schwachstellen, Malware oder Exploits verwendet werden, da die Veröffentlichung und Verbreitung solcher Inhalte einen pädagogischen Wert haben und unter dem Strich einen Nutzen für die Sicherheitsgemeinschaft darstellt. Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben.

In seltenen Fällen von sehr weit verbreitetem Missbrauch von Dual-Use-Inhalten können wir den Zugriff auf diese bestimmte Instanz des Inhalts einschränken, um einen laufenden rechtswidrigen Angriff oder eine Malware-Kampagne zu unterbrechen, die die GitHub Plattform als Exploit- oder Malware-CDN nutzt. In den meisten dieser Fälle erfolgt die Beschränkung in Form einer Hinterlegung der Authentifizierung des Inhalts, kann aber als letzter Ausweg auch die Sperrung des Zugriffs oder die vollständige Entfernung beinhalten, wenn dies nicht möglich ist (z, B. wenn etwas als Gist gepostet wird). Wir werden uns in Bezug auf vorgenommene Beschränkungen nach Möglichkeit auch mit den Projektbesitzern in Verbindung setzen.

Beschränkungen sind nach Möglichkeit vorübergehend und dienen nicht dazu, bestimmte Dual-Use-Inhalte oder Kopien dieser Inhalte auf Dauer von der Plattform zu löschen oder einzuschränken. Wir sind zwar bestrebt, diese seltenen Fälle von Beschränkungen in Zusammenarbeit mit den Projekbesitzern durchzuführen, aber wenn Sie der Meinung sind, dass Ihre Inhalte ungerechtfertigt beschränkt wurden, können Sie unser Einspruchsverfahren nutzen.

Um einen Weg zur Behebung von Missbrauch mit den Projektbetreuern selbst zu finden, empfehlen wir, dass Repository-Besitzer vor der Eskalation an GitHub Missbrauchsberichte die folgenden Schritte unternehmen, wenn sie potenziell schädliche Sicherheitsforschungsinhalte posten:

  • Identifizieren und beschreiben Sie potenziell schädliche Inhalte eindeutig in einem Haftungsausschluss in der Datei README.md des Projekts oder in Kommentaren zum Quellcode.

  • Geben Sie eine bevorzugte Kontaktmethode für Missbrauchsanfragen Dritter über eine SECURITY.md-Datei im Repository an (z. B. „Bitte erstellen Sie bei Fragen oder Bedenken einen Issue in diesem Repository“). Eine solche Kontaktmethode ermöglicht es Dritten, Projektbetreuer direkt zu kontaktieren und möglicherweise Bedenken zu lösen, ohne dass Missbrauchsmeldungen eingereicht werden müssen.

    GitHub betrachtet die npm-Registrierung als eine Plattform, die hauptsächlich für die Installation und Laufzeitnutzung von Code und nicht für die Forschung verwendet wird.