Skip to main content

Logiciels ou codes malveillants actifs sur GitHub

Faire partie d’une communauté implique de ne pas profiter des autres membres de cette même communauté. Nous n’autorisons personne à utiliser notre plateforme pour soutenir directement des attaques illégales qui causent des préjudices techniques, comme l’utilisation de GitHub pour livrer des exécutables malveillants ou comme infrastructure d’attaque, par exemple en organisant des attaques par déni de service ou en gérant des serveurs de commande et contrôle. Par préjudice technique, on entend la surconsommation de ressources, les dommages physiques, les temps d’arrêt, le déni de service ou la perte de données, sans qu’il y ait un double usage implicite ou explicite avant que l’abus ne se produise.

Notez que GitHub autorise le contenu à double usage et soutient la publication de contenu utilisé pour la recherche de vulnérabilités, de logiciels ou de codes malveillants, car la publication et la distribution de ce contenu a une valeur éducative et apporte un avantage net à la communauté et à la sécurité. Nous supposons que l’intention et l’utilisation de ces projets sont positives afin de promouvoir et d’apporter des améliorations dans l’ensemble de l’écosystème.

Dans de rares cas d’abus très répandus de contenu à double usage, nous pouvons restreindre l’accès à cette instance spécifique du contenu pour interrompre une attaque illégale en cours ou une campagne de logiciels malveillants qui exploite la plateforme GitHub comme un CDN de codes ou de logiciels malveillants. Dans la plupart de ces cas, la restriction prend la forme d’une authentification du contenu, mais peut, en dernier recours, impliquer la désactivation de l’accès ou la suppression complète lorsque cela n’est pas possible (par exemple, lorsque le contenu est publié en tant que gist). Nous contacterons également les propriétaires du projet au sujet des restrictions mises en place dans la mesure du possible.

Les restrictions sont temporaires dans la mesure du possible et n’ont pas pour but de purger ou de restreindre de la plateforme à perpétuité un contenu spécifique à double usage, ou des copies de ce contenu. Bien que nous cherchions à faire de ces rares cas de restriction un processus de collaboration avec les propriétaires de projets, si vous estimez que votre contenu a été indûment restreint, nous avons mis en place une procédure d’appel.

Afin de faciliter la résolution des abus par les responsables du projet eux-mêmes, avant l’escalade des rapports d’abus sur GitHub, nous recommandons, mais n’exigeons pas que les propriétaires de dépôts prennent les mesures suivantes lorsqu’ils publient du contenu de recherche sur la sécurité potentiellement dangereux :

  • Identifier et décrire clairement tout contenu potentiellement dangereux dans une clause de non-responsabilité figurant dans le fichier README.md du projet ou dans les commentaires du code source.

  • Fournir une méthode de contact préférée pour toute demande de renseignements sur les abus de tiers par le biais d’un fichier SECURITY.md dans le dépôt (par exemple, « Veuillez créer un problème sur ce dépôt pour toute question ou préoccupation »). Cette méthode de contact permet aux tiers d’entrer directement en contact avec les responsables de projets et de résoudre éventuellement leurs problèmes sans devoir déposer des rapports d’abus.

    GitHub considère le registre npm comme une plateforme utilisée principalement pour l’installation et l’utilisation du code, et non pour la recherche.