Skip to main content

Malware Activo o Vulnerabilidades de GitHub

Formar parte de una comunidad conlleva no aprovecharse de los demás miembros que la integran. No permitimos que nadie use nuestra plataforma para apoyar directamente ataques ilegales que causen daños técnicos, como el uso de GitHub como medio para distribuir archivos ejecutables maliciosos o como infraestructura de ataque, por ejemplo, organizando ataques de denegación de servicio o gestionando servidores de comandos y control. El término «daños técnicos» se refiere a un consumo excesivo de recursos, daños físicos, tiempo de inactividad, denegación de servicio o pérdida de datos, sin que exista una finalidad implícita o explícita de doble uso antes de que se produzca el abuso.

Tenga en cuenta que GitHub permite el contenido de doble uso y admite la publicación de contenido que se utiliza para investigar vulnerabilidades de seguridad o de otro tipo y malware, ya que la publicación y distribución de dicho contenido tiene valor educativo y brinda un beneficio neto a la comunidad de seguridad. Damos por hecho que la intención es positiva y que estos proyectos se usarán para promover impulsar mejoras en todo el ecosistema.

En casos excepcionales de abuso muy generalizado del contenido de doble uso, podemos restringir el acceso a esa instancia específica del contenido para interrumpir un ataque ilegal en curso o una campaña de malware que aprovecha la plataforma GitHub como vulnerabilidad o como red de distribución (CDN) de malware. En la mayoría de estos casos, la restricción consiste en exigir autenticación para el contenido, si bien, como opción de último recurso cuando esto no sea posible, puede conllevar la inhabilitación del acceso o la eliminación completa (por ejemplo, cuando se ha publicado como gist). También nos pondremos en contacto con los propietarios del proyecto para comunicar las restricciones establecidas cuando sea posible.

Las restricciones son temporales cuando es factible y no tienen el propósito de purgar ni de restringir a perpetuidad en la plataforma ningún contenido específico de doble uso, ni las copias de ese contenido. Si bien nuestra intención es que estos raros casos de restricción se lleven a cabo en el seno de un proceso de colaboración con los propietarios de los proyectos, si considera que su contenido se ha restringido indebidamente, contamos con un proceso de apelación.

Para facilitar una vía de resolución de los abusos con los propios responsables del mantenimiento de los proyectos, antes de remitir a GitHub los informes de abuso, recomendamos (aunque no exigimos) que los propietarios del repositorio sigan estos pasos cuando publiquen contenido de investigación de seguridad potencialmente dañino:

  • Identifique y describa claramente cualquier contenido potencialmente dañino en un descargo de responsabilidad en el archivo LÉAME.md del proyecto o en los comentarios del código fuente.

  • Proporcione un método de contacto preferido para cualquier consulta de abuso de terceros mediante un archivo SEGURIDAD.md en el repositorio (por ejemplo, «Cree una incidencia en este repositorio para cualquier pregunta o duda que pueda tener»). Dicho método de contacto permite que terceros se comuniquen directamente con los responsables del mantenimiento de los proyectos y, potencialmente, resuelvan sus dudas sin la necesidad de presentar informes de abuso.

    GitHub considera que el registro npm es una plataforma utilizada principalmente para la instalación y el uso de código en tiempo de ejecución, pero no para investigación.