Ser parte de una comunidad incluye no aprovecharse de otros miembros de la comunidad. No permitimos que nadie use nuestra plataforma para apoyar directamente ataques ilegales que causen daños técnicos, como el uso de GitHub como un medio para entregar ejecutables maliciosos o como infraestructura de ataque, por ejemplo, organizando ataques de denegación de servicio o administrando servidores de comando y control. . Los daños técnicos significan el consumo excesivo de recursos, el daño físico, el tiempo de inactividad, la denegación de servicio o la pérdida de datos, sin un propósito implícito o explícito de doble uso antes de que ocurra el abuso.
Tenga en cuenta que GitHub permite contenido de uso dual y admite la publicación de contenido que se utiliza para investigar vulnerabilidades, malware o exploits, ya que la publicación y distribución de dicho contenido tiene valor educativo y brinda un beneficio neto a la comunidad de seguridad. Asumimos una intención positiva y el uso de estos proyectos para promover e impulsar mejoras en todo el ecosistema.
En casos excepcionales de abuso muy generalizado de contenido de doble uso, podemos restringir el acceso a esa instancia específica del contenido para interrumpir un ataque ilegal en curso o una campaña de malware que aprovecha la plataforma GitHub como un exploit o CDN de malware. En la mayoría de estos casos, la restricción toma la forma de poner el contenido detrás de la autenticación, pero puede, como opción de último recurso, implicar la inhabilitación del acceso o la eliminación completa cuando esto no sea posible (por ejemplo, cuando se publica como una esencia). También nos pondremos en contacto con los propietarios del proyecto sobre las restricciones establecidas cuando sea posible.
Las restricciones son temporales cuando es factible y no tienen el propósito de purgar o restringir ningún contenido específico de doble uso, o copias de ese contenido, de la plataforma a perpetuidad. Si bien nuestra intención es que estos raros casos de restricción se lleven a cabo en el seno de un proceso de colaboración con los propietarios de los proyectos, si considera que su contenido se ha restringido indebidamente, contamos con un proceso de apelación.
Para facilitar un camino hacia la resolución de abusos con los propios mantenedores del proyecto, antes de escalar a los informes de abuso de GitHub, recomendamos, pero no exigimos, que los propietarios del repositorio sigan los siguientes pasos al publicar contenido de investigación de seguridad potencialmente dañino:
-
Identifique y describa claramente cualquier contenido potencialmente dañino en un descargo de responsabilidad en el archivo README.md del proyecto o en los comentarios del código fuente.
-
Proporcione un método de contacto preferido para cualquier consulta de abuso de terceros a través de un archivo SECURITY.md en el repositorio (p. ej., "Por favor, cree un problema en este repositorio para cualquier pregunta o inquietud"). Dicho método de contacto permite que terceros se comuniquen directamente con los mantenedores del proyecto y potencialmente resuelvan inquietudes sin la necesidad de presentar informes de abuso.
GitHub considera que el registro npm (“node package manager”) es una plataforma utilizada principalmente para la instalación y el uso de código en tiempo de ejecución, pero no para investigación.