成为社区的一员意味着不能利用其他社区成员。我们不允许任何人将我们的平台直接用于支持导致技术危害的非法攻击,例如将 GitHub 用作传递恶意可执行文件或作为攻击基础设施的手段,如组织拒绝服务攻击或管理指挥控制服务器。技术危害指资源过度消耗、物理破坏、停机、拒绝服务或数据丢失,在滥用发生之前不存在隐含或明确的双重用途目的。
请注意,GitHub 允许双重用途内容,并支持发布用于漏洞、恶意软件或利用研究的内容,因为此类内容的发布与分发具有教育价值,并为安全社区带来整体收益。我们假设这些项目具有积极的意图,并用于推动整个生态系统的改进。
在极少数双重用途内容被大范围滥用的情况下,我们可能会限制对该特定内容实例的访问,以中断利用 GitHub 平台作为漏洞或恶意软件 CDN 的非法攻击或恶意软件活动。大多数情况下,限制形式为将内容置于身份验证之后,但作为最后手段,也可能会在无法实现(例如以 gist 形式发布)时禁用访问或完全删除。我们也将在可能的情况下联系项目所有者,说明所采取的限制措施。
在可行的情况下,限制是临时的,且并非旨在永久清除或限制平台上的任何特定双重用途内容或其副本。我们力求将这些罕见的限制案例与项目所有者协作处理;如果您认为自己的内容被不当限制,我们提供了申诉流程。
为在上报 GitHub 滥用之前,帮助项目维护者自行解决滥用问题,我们建议(但不强制)仓库所有者在发布可能有害的安全研究内容时采取以下措施:
-
在项目的 README.md 文件或源码注释中,以免责声明的方式清楚标识并描述任何可能有害的内容。
-
通过仓库中的 SECURITY.md 文件提供首选的第三方滥用查询联系方式(例如:“如有任何问题或担忧,请在本仓库创建 issue”。)。此联系方式可让第三方直接联系项目维护者,可能在无需提交滥用报告的情况下解决问题。
GitHub 将 npm 注册表视为主要用于代码安装和运行时使用的平台,而非用于研究。