Faire partie d'une communauté implique de ne pas profiter des autres membres de la communauté. Nous n'autorisons personne à utiliser notre plate-forme pour soutenir directement des attaques illégales qui causent des dommages techniques, telles que l'utilisation de GitHub comme moyen de fournir des exécutables malveillants ou comme infrastructure d'attaque, par exemple en organisant des attaques par déni de service ou en gérant des serveurs de commande et de contrôle. . Les préjudices techniques signifient une surconsommation de ressources, des dommages physiques, des temps d'arrêt, un déni de service ou une perte de données, sans objectif de double usage implicite ou explicite avant que l'abus ne se produise.
Notez que GitHub autorise le contenu à double usage et prend en charge la publication de contenu utilisé pour la recherche de vulnérabilités, de logiciels malveillants ou d'exploits, car la publication et la distribution de ce contenu ont une valeur éducative et offrent un avantage net à la communauté de la sécurité. Nous supposons une intention positive et l'utilisation de ces projets pour promouvoir et conduire des améliorations à travers l'écosystème.
Dans de rares cas d'abus très répandu de contenu à double usage, nous pouvons restreindre l'accès à cette instance spécifique du contenu pour perturber une attaque illégale ou une campagne de logiciels malveillants en cours qui exploite la plate-forme GitHub en tant qu'exploit ou CDN malveillant. Dans la plupart de ces cas, la restriction prend la forme d'une authentification du contenu, mais peut, en dernier recours, impliquer la désactivation de l'accès ou la suppression complète lorsque cela n'est pas possible (par exemple, lorsqu'il est publié en tant qu'essentiel). Nous contacterons également les propriétaires du projet au sujet des restrictions mises en place lorsque cela est possible.
Les restrictions sont temporaires dans la mesure du possible et n'ont pas pour but de purger ou de restreindre tout contenu à double usage spécifique, ou des copies de ce contenu, de la plate-forme à perpétuité. Bien que nous cherchions à faire de ces rares cas de restriction un processus de collaboration avec les propriétaires de projets, si vous estimez que votre contenu a été indûment restreint, nous avons mis en place une procédure d'appel.
Pour faciliter la résolution des abus avec les mainteneurs de projet eux-mêmes, avant l'escalade vers les rapports d'abus GitHub, nous recommandons, mais n'exigeons pas, que les propriétaires de référentiels prennent les mesures suivantes lors de la publication de contenu de recherche de sécurité potentiellement dangereux :
-
Identifiez et décrivez clairement tout contenu potentiellement dangereux dans une clause de non-responsabilité dans le fichier README.md du projet ou dans les commentaires du code source.
-
Fournissez une méthode de contact préférée pour toute demande d'abus par un tiers via un fichier SECURITY.md dans le référentiel (par exemple, « Veuillez créer un problème sur ce référentiel pour toute question ou préoccupation »). Une telle méthode de contact permet à des tiers de contacter directement les mainteneurs du projet et potentiellement de résoudre les problèmes sans avoir besoin de déposer des rapports d'abus.
GitHub considère le registre npm comme une plateforme utilisée principalement pour l'installation et l'utilisation du code, et non pour la recherche.