Быть частью сообщества означает не использовать других членов сообщества в своих интересах. Мы не разрешаем никому использовать нашу платформу для прямой поддержки незаконных атак, наносящих технический ущерб, например, использовать GitHub в качестве средства доставки вредоносных исполняемых файлов или в качестве инфраструктуры для атак, например, путем организации атак типа «отказ в обслуживании» или управления серверами управления и контроля. Технический вред означает чрезмерное потребление ресурсов, физический ущерб, простои, отказ в обслуживании или потерю данных без какой-либо явной или неявной цели двойного назначения до того, как произошло злоупотребление.
Обратите внимание, что GitHub разрешает контент двойного назначения и поддерживает публикацию контента, который используется для исследования уязвимостей, вредоносных или хакерских программ, поскольку публикация и распространение такого контента имеет образовательную ценность и приносит чистую пользу сообществу безопасности. Мы предполагаем наличие у этих проектов позитивных намерений и их использование для продвижения и стимулирования улучшений во всей экосистеме.
В редких случаях очень широко распространенного злоупотребления контентом двойного назначения мы можем ограничить доступ к конкретному экземпляру контента, чтобы пресечь текущую незаконную атаку или кампанию вредоносных программ, использующих платформу GitHub в качестве CDN для хакерских или вредоносных программ. В большинстве таких случаев ограничение принимает форму установления аутентификации контента, но в качестве крайней меры может включать отключение доступа или полное удаление, если это невозможно (например, если контент размещен как источник информации). Мы также обратимся к владельцам проектов по поводу введенных ограничений там, где это возможно.
Ограничения носят временный характер, где это возможно, и не служат цели постоянного удаления или ограничения какого-либо конкретного контента двойного назначения или копий этого контента с платформы. Хотя мы стремимся сделать эти редкие случаи ограничения совместным процессом с владельцами проектов, если вы считаете, что ваш контент был необоснованно ограничен, у нас существует процесс обжалования.
Чтобы облегчить путь к решению проблемы злоупотребления с помощью самих сопровождающих проектов, до передачи сообщений о злоупотреблениях на GitHub в следующие инстанции, мы рекомендуем, но не требуем, чтобы владельцы репозиториев предпринимали следующие шаги при размещении потенциально опасных материалов исследований в области безопасности:
-
Четко определите и опишите любой потенциально опасный контент в заявлении об отказе от ответственности в файле проекта README.md или в комментариях к исходному коду.
-
Укажите предпочтительный способ связи для любых запросов о злоупотреблениях третьих лиц через файл SECURITY.md в репозитории (например, «Пожалуйста, оставьте заявку на этом репозитории для любых вопросов или проблем»). Такой метод связи позволяет третьим сторонам напрямую связываться с сопровождающими проекта и потенциально решать проблемы без необходимости писать отчеты о нарушениях.
GitHub считает реестр npm платформой, используемой в основном для установки и использования кода во время выполнения, а не для исследований.