Skip to main content

Активное вредоносное ПО или эксплойты GitHub

Быть частью сообщества означает не пользоваться преимуществами других членов сообщества. Мы не позволяем никому использовать нашу платформу для прямой поддержки незаконных атак, причиняющих технический вред, например, использование GitHub в качестве средства для доставки вредоносных исполняемых файлов или в качестве инфраструктуры атаки, например, путем организации атак типа «отказ в обслуживании» или управления серверами управления и контроля. . Технический вред означает чрезмерное потребление ресурсов, физический ущерб, время простоя, отказ в обслуживании или потерю данных без какой-либо явной или неявной цели двойного назначения до совершения злоупотребления.

Обратите внимание, что GitHub разрешает содержимое двойного назначения и поддерживает публикацию содержимого, который используется для исследования уязвимостей, вредоносных программ или эксплойтов, поскольку публикация и распространение такого содержимого имеет образовательную ценность и приносит чистую пользу сообществу безопасности. Мы предполагаем положительное намерение и использование этих проектов для продвижения и улучшения всей экосистемы.

В редких случаях очень широко распространенного злоупотребления содержимым двойного назначения мы можем ограничить доступ к этому конкретному экземпляру содержимого, чтобы предотвратить текущую незаконную атаку или кампанию вредоносного ПО, использующую платформу GitHub в качестве эксплойта или CDN вредоносного ПО. В большинстве таких случаев ограничение принимает форму предоставления содержимого для проверки подлинности, но может, в крайнем случае, включать отключение доступа или полное удаление, когда это невозможно (например, при размещении в виде основного содержания). Мы также свяжемся с владельцами проекта по поводу введенных ограничений, где это возможно.

Ограничения носят временный характер, если это возможно, и не служат цели удаления или ограничения какого-либо конкретного содержимого двойного назначения или копий этого содержимого с платформы на неограниченный срок. Хотя мы стремимся сделать эти редкие случаи ограничения совместным процессом с владельцами проектов, если вы считаете, что ваше содержимое было необоснованно ограничено, у нас применяется апелляционный процесс.

Чтобы упростить путь к разрешению злоупотреблений с помощью самих сопровождающих проекта, перед передачей отчетов о злоупотреблениях GitHub мы рекомендуем, но не требуем, чтобы владельцы репозиториев предпринимали следующие шаги при публикации потенциально опасного исследовательского содержимого:

  • Четко определите и опишите любое потенциально опасное содержимое в заявлении об отказе от ответственности в файле проекта README.md или в комментариях к исходному коду.

  • Укажите предпочтительный способ связи для любых запросов о злоупотреблениях третьих лиц через файл SECURITY.md в репозитории (например, «Пожалуйста, создайте проблему в этом репозитории для любых вопросов или проблем»). Такой метод связи позволяет третьим сторонам напрямую связываться с сопровождающими проекта и потенциально решать проблемы без необходимости подавать отчеты о нарушениях.

    GitHub считает реестр npm платформой, используемой в основном для установки и использования кода во время выполнения, а не для исследований.