成为社区的一份子意味着不利用社区的其他成员。我们不允许任何人直接利用我们的平台来支持导致技术损害的非法攻击,例如使用 GitHub 作为传递恶意可执行文件或作为攻击基础设施的途径,例如组织拒绝服务攻击或管理命令和控制服务器。技术损害是指过度消耗资源、物理损坏、停机、拒绝服务或数据丢失,在滥用发生之前没有隐含或明确的双重用途。
请注意,GitHub 允许双重用途内容,并支持发布用于研究漏洞、恶意软件或漏洞利用的内容,因为此类内容的发布和分发具有教育价值,并为安全社区带来净收益。我们假设这些项目的意图和使用是积极的,以促进和推动整个生态系统的改进。
在极少数情况下,如果双重用途内容被广泛滥用,我们可能会限制对该内容的特定实例的访问,以阻止正在进行的非法攻击或恶意软件活动,这些活动利用 GitHub 平台作为漏洞利用或恶意软件 CDN。在大多数情况下,限制采取的形式是将内容置于身份验证之后,但也可以作为最后手段,在无法实现的情况下(例如,发布为 gist 时),禁用访问或完全删除。如果可能,我们还会联系项目所有者,告知他们实施的限制。
在可行的情况下,限制是临时的,并且不会永久地清除或限制平台上任何特定双重用途内容或该内容的副本。虽然我们的目标是使这些罕见的限制案例与项目所有者合作进行,但如果您确实认为您的内容被不当限制,我们已经建立了 申诉流程。
为了在升级到 GitHub 滥用报告之前,促进与项目维护者本身解决滥用问题的途径,我们建议(但不要求)存储库所有者在发布可能造成危害的安全研究内容时采取以下步骤
-
在项目的 README.md 文件或源代码注释中,明确标识和描述任何可能造成危害的内容。
-
通过存储库中的 SECURITY.md 文件提供任何第三方滥用查询的首选联系方式(例如,“对于任何问题或疑虑,请在此存储库中创建一个问题”)。这种联系方式允许第三方直接联系项目维护者,并有可能解决问题,而无需提交滥用报告。
GitHub 认为 npm 注册表是一个主要用于安装和运行时使用代码的平台,而不是用于研究的平台。