Skip to main content

GitHub Active Malware or Exploits

Being part of a community includes not taking advantage of other members of the community. 悪意のある実行可能ファイルを配信する手段としてや、サービス拒否攻撃を組織したりコマンドアンドコントロールサーバーを管理したりといった攻撃インフラとして GitHub を使用するなど、当社のプラットフォームを使用して、技術的な危害を及ぼす非合法な攻撃を直接支援することは許可しません。 技術的な危害とは、悪用が生じる前に黙示的または明示的なデュアルユースの目的が存在しない、リソースの過剰な消費、物理的損傷、ダウンタイム、サービス拒否、データ損失のことを意味します。

ただし、GitHub はデュアルユースのコンテンツを許容し、脆弱性、マルウェア、またはエクスプロイトの研究に用いられるコンテンツの投稿を支持しています。こうしたコンテンツの公開や配布には教育的価値があり、セキュリティコミュニティに総合的に見て利益をもたらします。 当社はこうしたプロジェクトに肯定的な意図があり、エコシステム全体の促進と改善を促すために利用されることを想定しています。

デュアルユースのコンテンツが広範に乱用されている場合、当社は GitHub platform as an エクスプロイトやマルウェアの CDN として GitHub プラットフォームを活用している、現在進行中の非合法な攻撃やマルウェアキャンペーンを妨げるため、コンテンツの特定のインスタンスへの制限することが稀にあります。 ほとんどのインスタンスでは、コンテンツに認証を要求するという形で制限しますが、最後の手段として、アクセスの無効化や、それが不可能な場合 (Gist として投稿されている場合) はインスタンスの完全な削除を行う場合もあります。 また、可能な場合は導入した制限についてプロジェクトのオーナーに連絡します。

制限は可能な限り一時的なものとし、プラットフォームから特定のデュアルユースコンテンツやそのコピーを永久的に取り除いたり、制限したりする目的で行うものではありません。 While we aim to make these rare cases of restriction a collaborative process with project owners, if you do feel your content was unduly restricted, we have an appeals process in place.

プロジェクトメンテナ自身による不正利用の解決を促進するため、GitHub に不正利用を報告する前に、リポジトリのオーナーが潜在的に有害なセキュリティ研究コンテンツを投稿する際に、リポジトリのオーナーが次のステップを実行するよう推奨します。(強制ではありません。)

  • プロジェクトの README ファイルの免責事項やソースコードのコメントに、潜在的に有害なコンテンツを明示し説明する。

  • リポジトリの SECURITY.md ファイルに、第三者が悪用について問い合わせる方法を記載する (例:「疑問や懸念事項については、このリポジトリに Issue を作成してください」)。 こうした連絡方法により、第三者はプロジェクトのメンテナに直接連絡でき、不正利用の報告を提出することなく問題を解決できる可能性があります。

    GitHub は、npm レジストリについて、研究用ではなく主にコードのインストールと実行時に使用するプラットフォームとしています。