Быть частью сообщества означает не пользоваться преимуществами других членов сообщества. Мы не позволяем никому использовать нашу платформу для прямой поддержки незаконных атак, причиняющих технический вред, например, использование GitHub в качестве средства для доставки вредоносных исполняемых файлов или в качестве инфраструктуры атаки, например, путем организации атак типа «отказ в обслуживании» или управления серверами управления и контроля. . Технический вред означает чрезмерное потребление ресурсов, физический ущерб, время простоя, отказ в обслуживании или потерю данных без какой-либо явной или неявной цели двойного назначения до совершения злоупотребления.
Обратите внимание, что GitHub разрешает содержимое двойного назначения и поддерживает публикацию содержимого, который используется для исследования уязвимостей, вредоносных программ или эксплойтов, поскольку публикация и распространение такого содержимого имеет образовательную ценность и приносит чистую пользу сообществу безопасности. Мы предполагаем положительное намерение и использование этих проектов для продвижения и улучшения всей экосистемы.
В редких случаях очень широко распространенного злоупотребления содержимым двойного назначения мы можем ограничить доступ к этому конкретному экземпляру содержимого, чтобы предотвратить текущую незаконную атаку или кампанию вредоносного ПО, использующую платформу GitHub в качестве эксплойта или CDN вредоносного ПО. В большинстве таких случаев ограничение принимает форму предоставления содержимого для проверки подлинности, но может, в крайнем случае, включать отключение доступа или полное удаление, когда это невозможно (например, при размещении в виде основного содержания). Мы также свяжемся с владельцами проекта по поводу введенных ограничений, где это возможно.
Ограничения носят временный характер, если это возможно, и не служат цели удаления или ограничения какого-либо конкретного содержимого двойного назначения или копий этого содержимого с платформы на неограниченный срок. Хотя мы стремимся сделать эти редкие случаи ограничения совместным процессом с владельцами проектов, если вы считаете, что ваше содержимое было необоснованно ограничено, у нас применяется апелляционный процесс.
Чтобы упростить путь к разрешению злоупотреблений с помощью самих сопровождающих проекта, перед передачей отчетов о злоупотреблениях GitHub мы рекомендуем, но не требуем, чтобы владельцы репозиториев предпринимали следующие шаги при публикации потенциально опасного исследовательского содержимого:
-
Четко определите и опишите любое потенциально опасное содержимое в заявлении об отказе от ответственности в файле проекта README.md или в комментариях к исходному коду.
-
Укажите предпочтительный способ связи для любых запросов о злоупотреблениях третьих лиц через файл SECURITY.md в репозитории (например, «Пожалуйста, создайте проблему в этом репозитории для любых вопросов или проблем»). Такой метод связи позволяет третьим сторонам напрямую связываться с сопровождающими проекта и потенциально решать проблемы без необходимости подавать отчеты о нарушениях.
GitHub считает реестр npm платформой, используемой в основном для установки и использования кода во время выполнения, а не для исследований.