Fazer parte de uma comunidade inclui não tirar vantagem de outros membros da comunidade. Não permitimos que ninguém use nossa plataforma em suporte direto a ataques ilegais que causem danos técnicos, como usar o GitHub como meio de entregar executáveis maliciosos ou como infraestrutura de ataque, por exemplo, organizando ataques de negação de serviço ou gerenciando servidores de comando e controle. Danos técnicos significam consumo excessivo de recursos, danos físicos, tempo de inatividade, negação de serviço ou perda de dados, sem propósito de uso duplo implícito ou explícito antes da ocorrência do abuso.
Observe que o GitHub permite conteúdo de uso duplo e oferece suporte à postagem de conteúdo usado para pesquisa de vulnerabilidades, malware ou explorações, pois a publicação e distribuição de tal conteúdo tem valor educacional e fornece um benefício líquido para a comunidade de segurança. Assumimos a intenção positiva e o uso desses projetos para promover e impulsionar melhorias em todo o ecossistema.
Em casos raros de abuso muito generalizado de conteúdo de uso duplo, podemos restringir o acesso a essa instância específica do conteúdo para interromper um ataque ilegal ou campanha de malware em andamento que esteja aproveitando a plataforma GitHub como uma CDN de exploração ou malware. Na maioria desses casos, a restrição assume a forma de colocar o conteúdo atrás de autenticação, mas pode, como opção de último recurso, envolver a desativação do acesso ou a remoção total quando isso não for possível (por exemplo, quando postado como essência). Também entraremos em contato com os proprietários do projeto sobre as restrições implementadas sempre que possível.
As restrições são temporárias quando possível e não servem para eliminar ou restringir qualquer conteúdo específico de uso duplo, ou cópias desse conteúdo, da plataforma em perpetuidade. Embora tenhamos como objetivo tornar esses casos raros de restrição um processo colaborativo com os proprietários do projeto, se você achar que seu conteúdo foi indevidamente restrito, temos um processo de apelação em vigor.
Para facilitar um caminho para a resolução de abusos com os próprios mantenedores do projeto, antes do encaminhamento para relatórios de abuso do GitHub, recomendamos, mas não exigimos, que os proprietários do repositório sigam as seguintes etapas ao postar conteúdo de pesquisa de segurança potencialmente prejudicial:
-
Identifique e descreva claramente qualquer conteúdo potencialmente prejudicial em uma isenção de responsabilidade no arquivo README.md do projeto ou nos comentários do código-fonte.
-
Forneça um método de contato preferencial para qualquer consulta de abuso de terceiros por meio de um arquivo SECURITY.md no repositório (por exemplo, "Crie um problema neste repositório para qualquer dúvida ou preocupação"). Esse método de contato permite que terceiros entrem em contato diretamente com os mantenedores do projeto e potencialmente resolvam preocupações sem a necessidade de apresentar relatórios de abuso.
O GitHub considera o registro npm uma plataforma usada principalmente para instalação e uso de código em tempo de execução, e não para pesquisa.