Skip to main content

Explorações ou Malwares Ativos do GitHub

Fazer parte de uma comunidade inclui não tirar vantagem de outros membros da comunidade. Não permitimos que ninguém use nossa plataforma como apoio direto a ataques ilegais que causem danos técnicos, como usar o GitHub como meio de entregar executáveis maliciosos ou como infraestrutura de ataque, por exemplo, organizando ataques de negação de serviço ou gerenciando servidores de comando e controle. Danos técnicos significam consumo excessivo de recursos, danos físicos, tempo de inatividade, negação de serviço ou perda de dados, sem propósito de uso duplo implícito ou explícito antes da ocorrência do abuso.

Observe que o GitHub permite conteúdo de uso duplo e oferece suporte à postagem de conteúdo usado para pesquisa de vulnerabilidades, malwares ou explorações uma vez que a publicação e distribuição do referido conteúdo tem valor educacional e fornece um benefício líquido para a comunidade de segurança. Assumimos a intenção positiva e o uso desses projetos para promover e impulsionar melhorias em todo o ecossistema.

Em casos raros de abuso muito generalizado de conteúdo de uso duplo, podemos restringir o acesso a essa instância específica do conteúdo para interromper um ataque ilegal ou campanha de malware em andamento que esteja aproveitando a plataforma do GitHub como uma CDN de exploração ou malware. Na maioria desses casos, a restrição assume a forma de submeter o conteúdo a autenticação, mas pode, como último recurso, envolver a desativação do acesso ou a remoção total quando isso não for possível (por exemplo, quando postado como gist). Também entraremos em contato com os proprietários do projeto sobre as restrições implementadas sempre que possível.

As restrições são temporárias, quando possível, e não servem para eliminar nem restringir qualquer conteúdo específico de uso duplo, ou cópias do referido conteúdo, da plataforma para sempre. Embora tenhamos como objetivo tornar esses casos raros de restrição um processo colaborativo com os proprietários do projeto, se você achar que seu conteúdo foi indevidamente restrito, temos um processo de apelação em vigor.

Para viabilizar um caminho para a resolução de abusos com os próprios mantenedores do projeto, antes do encaminhamento para os relatórios de abuso do GitHub, recomendamos, mas não exigimos, que os proprietários do repositório sigam as seguintes etapas ao postar conteúdo de pesquisa de segurança potencialmente prejudicial:

  • Identificar e descrever claramente qualquer conteúdo potencialmente prejudicial em um aviso de isenção de responsabilidade no arquivo README.md do projeto ou nos comentários do código-fonte.

  • Fornecer um método de contato preferencial para qualquer consulta de abuso de terceiros por meio de um arquivo SECURITY.md no repositório (por exemplo, "Criar um problema neste repositório para qualquer dúvida ou preocupação"). Esse método de contato permite que terceiros entrem em contato diretamente com os mantenedores do projeto e possivelmente resolvam as preocupações sem a necessidade de apresentar relatórios de abuso.

    O GitHub considera o registro npm uma plataforma usada principalmente para instalação e uso de código em tempo de execução, e não para pesquisa.