Skip to main content

Exploits o Malware Activo de GitHub

El ser parte de una comunidad incluye no aprovecharse de otros miembros de ella. No permitimos que nadie utilice nuestra plataforma para apoyar directamente los ataques ilícitos que causan daño técnico, tales como utilizar GitHub como medio para entregar ejecutables malintencionados o como infraestructura de ataque, por ejemplo, para organizar ataques de negación del servicio o administrar servidores de control y comando. Los daños técnicos significan el sobreconsumo de recursos, daño físico, tiempo de inactividad, negación del servicio o pérdidad de datos, sin propósito implícito o explícito para uso dual antes de que ocurra el abuso.

Toma en cuenta que GitHub permite el contenido de uso dual y apoya la publicación de contenido que se utilice para la investigación de vulnerabilidades, malware o exploits, ya que el publicar o distribuir este tipo de contenido tiene un valor educativo y pñroporciona un beneficio real a la comunidad de seguridad. Asumimos un uso de estos proyectos e intención positivos para promover e impulsar mejoras a lo largo del ecosistema.

En casos extraordinarios de abuso amplio del contenido de uso dual, podríamos restringir el acceso a esta instancia específica de contenido para parar un ataque ilícito o campaña de malware en curso que esté tomando provecho de la plataforma de GitHub como un exploit o CDN de malware. En la mayoría de estos casos, la restricción toma la forma de poner el contenido bajo autenticación, pero podría, como último recurso, invlucrar la inhabilitación de accesos o la eliminación por completo en donde esto no fuese posible (por ejemplo, cuando se publica como un gist). También contactaremos a los propietarios del proyecto para conocer las restricciones que se pusieron en marcha, cuando sea posible.

Las restricciones son temporales cuando sea posible y no tienen el propósito de purgar o restringir ningun contenido de uso dual específico ni copias de dicho contenido desde la plataforma perpetuamente. Si bien nos enfocamos en que estos casos de restricción extraordinarios sean un proceso colaborativo con los propietarios de los proyectos, en caso de que sientas que tu contenido se restringió sin razón alguna, instauramos un proceso de apelación.

Para facilitar una ruta de resolución de abuso con los mismos mantenedores de proyecto, antes de escalar a un reporte de abuso de GitHub, te recomendamos, mas no requerimos, que los propietarios de los repositorios lleven a cabo los siguientes pasos al publicar contenido de investigación de seguridad potencialmente dañino:

  • Identifica y describe claramente cualquier contenido dañino en un aviso legal en el archivo README.md del proyecto o en los comentarios del código fuente.

  • Proporciona un método de contacto preferido para cualquier consultas de abuso de terceros a través de un archivo de SECURITY.md en el repositorio (por ejemplo, "Por favor, crea una propuesta en este repositorio para dirigir cualquier pregunta o preocupación"). Dicho método de contacto permite que los terceros contacten a los mantenedores de proyecto directamente y que así resuelvan las preocupaciones potencialmente sin necesidad de emitir reportes de abuso.

    GitHub considera que el registro de npm es una plataforma que se utiliza principalmente para la instalación y uso de tiempo de ejecución del código y no para investigación.