成为社区的一部分意味着不利用社区中的其他成员。我们不允许任何人使用我们的平台直接支持导致技术损害的非法攻击,例如使用 GitHub 作为传递恶意可执行文件或作为攻击基础设施的手段,例如组织拒绝服务攻击或管理命令和控制服务器。技术损害是指过度消耗资源、物理损坏、停机、拒绝服务或数据丢失,在滥用发生之前没有隐含或明确的双重用途。
请注意,GitHub 允许双重用途内容,并支持发布用于研究漏洞、恶意软件或漏洞利用的内容,因为此类内容的发布和分发具有教育价值,并为安全社区提供了净收益。我们假设这些项目的积极意图和使用,以促进和推动整个生态系统的改进。
在极少数情况下,如果双重用途内容被广泛滥用,我们可能会限制对该特定内容实例的访问,以破坏正在进行的非法攻击或恶意软件活动,这些活动利用 GitHub 平台作为漏洞利用或恶意软件 CDN。在大多数情况下,限制采取的形式是将内容置于身份验证之后,但可以选择作为最后的手段,包括禁用访问或完全删除,如果无法实现(例如,当发布为 gist 时)。我们还将尽可能与项目所有者联系,告知实施的限制。
限制在可行的情况下是临时的,并且不旨在永久地从平台上清除或限制任何特定的双重用途内容或该内容的副本。虽然我们力求使这些罕见的限制案例成为与项目所有者合作的过程,但如果您确实认为您的内容被不当限制,我们有一个申诉流程。
为了在升级到 GitHub 滥用报告之前,促进与项目维护者本身解决滥用问题的途径,我们建议(但不要求)存储库所有者在发布可能存在安全研究内容时采取以下步骤
-
在项目的 README.md 文件或源代码注释中,明确标识和描述任何可能存在有害内容的免责声明。
-
通过存储库中的 SECURITY.md 文件提供任何第三方滥用查询的首选联系方式(例如,“对于任何问题或疑虑,请在此存储库中创建一个问题”。这种联系方式允许第三方直接联系项目维护者,并有可能解决问题,而无需提交滥用报告。
GitHub 认为 npm 注册表是一个主要用于代码安装和运行时使用的平台,而不是用于研究。