Skip to main content

GitHub Active Malware ou Exploits

Ser parte de uma comunidade inclui não tirar proveito de outros integrantes da comunidade. Não permitimos que ninguém utilize a nossa plataforma em apoio direto de ataques ilegais que causam danos técnicos, como usar o GitHub como um meio de fornecer executáveis maliciosos ou como infraestrutura de ataque, por exemplo, organizando ataques de negação serviço ou gerenciando servidores de comando e controle. Prejuízos técnicos significam excesso de recursos, danos físicos, tempo de inatividade, negação de serviço ou perda de dados, sem qualquer propósito implícito ou explícito de dupla utilização antes de ocorrer o abuso.

Observe que o GitHub permite conteúdo de dupla utilização e é compatível com a postagem de conteúdo usado para pesquisa em vulnerabilidades, malware, ou exploração, uma vez que a publicação e distribuição de tal conteúdo tem valor educacional e proporciona um benefício líquido para a comunidade de segurança. Nós supomos uma intenção positiva e a utilização destes projetos para promover e gerar melhoria do ecossistema.

Em casos raros de abuso muito generalizado de conteúdo de dupla utilização, podemos restringir o acesso a essa instância específica do conteúdo para interromper um ataque ilegal ou uma campanha de malware que aproveita a plataforma GitHub como um exploit ou malware CDN. Na maioria dessas instâncias, a restrição assume a forma de colocar o conteúdo por trás da autenticação. No entanto, como opção de último recurso, pode envolver a desabilitação do acesso ou a remoção total quando isso não for possível (p. ex., quando postado como um gist). Também entraremos em contato com os proprietários dos projetos sobre restrições implementadas sempre que possível.

As restrições são temporárias quando possíveis e não servem o propósito de eliminar ou restringir qualquer conteúdo específico de dupla utilização ou cópias desse conteúdo da plataforma. Embora procuremos fazer desses raros casos de restrição um processo de colaboração com os proprietários do projeto, se você sentir que seu conteúdo foi restrito indevidamente, temos um processo de recursos em vigor.

Para facilitar um caminho para a resolução de abuso com os próprios mantenedores do projeto, antes da escalada aos relatórios de abuso do GitHub, recomendamos, embora não exigimos, que os proprietários do repositório sigam as etapas a seguir ao postar conteúdo de pesquisa de segurança potencialmente prejudicial:

  • Identifique e descreva claramente qualquer conteúdo potencialmente nocivo em uma isenção de responsabilidade no arquivo README.md do projeto ou comentários do código-fonte.

  • Forneça um método de contato preferido para qualquer consulta referente ao abuso de terceiros por meio de um arquivo SECURITY.md no repositório (por exemplo, "Crie um problema neste repositório para quaisquer dúvidas ou preocupações"). Esse método de contato permite que terceiros entrem em contato com os mantenedores do projeto diretamente e possivelmente resolvam as questões sem a necessidade de abrir relatórios de abuso.

    O GitHub considera o registro npm como uma plataforma usada principalmente para o uso do código em tempo de execução e não para pesquisas.