Skip to main content

GitHub におけるアクティブなマルウェアまたはエクスプロイト

コミュニティの一員であることには、そのコミュニティの他のメンバーを利用しないことも含まれます。 悪意のある実行可能ファイルを配信する手段として、あるいはサービス拒否攻撃を組織したりコマンド アンド コントロール サーバーを管理したりといった攻撃インフラストラクチャとして GitHub を使用するなど、当社のプラットフォームを使用して、技術的な危害を及ぼす非合法な攻撃を直接支援することを当社は許しません。 技術的な危害とは、乱用が生じる前に黙示的または明示的なデュアルユース目的が存在しない、リソースの過剰な消費、物理的な損傷、ダウンタイム、サービス拒否、データ喪失のことを意味します。

ただし、GitHub はデュアルユースのコンテンツを許容し、脆弱性、マルウェア、またはエクスプロイトのリサーチに用いられるコンテンツの投稿を支持しています。これらのコンテンツの公開や配布には教育的価値があり、総合的に見てセキュリティ コミュニティに利益をもたらします。 当社はこれらのプロジェクトに肯定的な意図があり、エコシステム全体の促進と改善を促すために利用されることを想定しています。

まれに、デュアルユースのコンテンツが広範に乱用されている場合、当社は、エクスプロイトやマルウェアの CDN として GitHub プラットフォームを利用している、現在進行中の非合法な攻撃やマルウェア キャンペーンを阻止するためにコンテンツの特定のインスタンスへのアクセスを制限することがあります。 これらのインスタンスのほとんどは、コンテンツに認証を要求するという形で制限しますが、最後の手段として、アクセスの無効化や、それが不可能な場合 (Gist として投稿されている場合など) はインスタンスの完全な削除を行う場合もあります。 また、可能な場合は導入した制限についてプロジェクト オーナーに連絡します。

制限は可能な限り一時的なものとし、プラットフォームから特定のデュアルユース コンテンツやそのコピーを恒久的に取り除いたり、制限したりする目的で行うものではありません。 これらのまれな制限の場合は、プロジェクト オーナーとの協調的なプロセスにすることを目指していますが、コンテンツが過度に制限されているとお客様が感じる場合は、異議申し立てプロセスをご用意しています。

プロジェクト管理者自身による乱用問題解決を促進するため、GitHub に乱用を報告する前に、当社は、有害の可能性のあるセキュリティ リサーチのコンテンツをリポジトリ オーナーが投稿する際に、リポジトリ オーナーが次の手順を実行することを推奨します (必須ではありません)。

  • プロジェクトの README.md ファイルの免責事項やソース コードのコメントに、有害の可能性のある内容を明示して説明する。

  • リポジトリの SECURITY.md ファイルに、第三者が乱用について問い合わせる方法を記載する (例: 「疑問や懸念事項については、このリポジトリにイシューを作成してください」)。 このような連絡方法により、第三者はプロジェクトの管理者に直接連絡でき、乱用の報告書を提出することなく問題を解決できる可能性があります。

    GitHub は、npm レジストリを、リサーチ用ではなく主にコードのインストールと実行時に使用するプラットフォームと見なしています。