Skip to main content

GitHub 활성 맬웨어 또는 익스플로잇

커뮤니티의 일원이 된다는 것은 커뮤니티의 다른 구성원을 이용하지 않는 것을 포함합니다. 당사는 예를 들어 서비스 거부(DoS) 공격을 계획하거나 명령 및 제어 서버를 관리하여 악성 실행 파일을 전달할 수단이나 공격 인프라로서 GitHub를 사용하는 등 기술적 피해를 초래하는 불법적인 공격을 직접 지원하기 위해 당사의 플랫폼을 사용하는 것을 누구에게도 허용하지 않습니다. 기술적 피해란 남용이 발생하기 전에 묵시적 또는 명시적인 이중 사용 목적이 없는 과도한 리소스 사용, 물리적 손상, 가동 중지 시간, 서비스 거부(DoS) 또는 데이터 손실을 의미합니다.

GitHub는 이중 사용 콘텐츠를 허용하며 취약점, 맬웨어 또는 익스플로잇(악용)에 대한 연구에 사용되는 콘텐츠의 게시를 지원합니다. 이러한 콘텐츠의 게시와 배포는 교육적 가치가 있으며 보안 커뮤니티에 순이익을 제공하기 때문입니다. 당사는 에코시스템 전반에 걸쳐 개선을 촉진하고 추진하기 위해 이러한 프로젝트의 긍정적인 의도와 사용을 가정합니다.

이중 사용 콘텐츠가 매우 광범위하게 남용되는 문제가 드물게 발생하는 경우, 당사는 GitHub 플랫폼을 익스플로잇 또는 맬웨어 CDN으로 활용하는 지속적인 불법 공격 또는 맬웨어 캠페인을 방해하기 위해 해당 콘텐츠 인스턴스에 대한 액세스를 제한할 수 있습니다. 대개의 경우, 이러한 사례에서는 제한 시 콘텐츠를 인증 뒤에 두는 형태를 취하지만 이것이 불가능한 경우(예: 지스트로 게시된 경우) 최후의 수단으로 액세스 또는 전체 제거를 사용 중지할 수 있습니다. 가능하다면 시행된 제한 사항에 관하여 프로젝트 소유자에게 연락할 것입니다.

이러한 제한은 가능하다면 일시적으로 적용되며, 플랫폼에서 특정 이중 용도 콘텐츠 또는 동 콘텐츠의 사본을 영구적으로 삭제하거나 제한하는 데 그 목적을 두지는 않습니다. 당사는 이러한 드문 제한 사례를 프로젝트 소유자와 협업 프로세스로 만드는 것을 목표로 하고 있지만 귀하의 콘텐츠가 부당하게 제한되었다고 생각된다면 당사의 이의 제기 절차에 따라 조치를 취할 수 있습니다.

프로젝트 유지관리 담당자와 함께 남용 문제를 보다 수월하게 해결할 경로를 찾으려면 GitHub 남용 보고 절차로 진행하기 전에 리포지토리 소유자가 잠재적으로 유해한 보안 연구 콘텐츠를 게시할 때 다음과 같은 조치를 수행할 것을 권장합니다(필수 요건은 아님).

  • 프로젝트의 README.md 파일 또는 소스 코드 주석의 고지 사항에서 잠재적으로 유해한 콘텐츠를 명확하게 식별하고 설명합니다.

  • 리포지토리의 SECURITY.md 파일을 통해 제3자 남용 문의에 대해 권장되는 연락 방법을 제시하십시오(예: "어떤 문제나 우려 사항이 있다면 이 리포지토리에 문제를 생성하십시오"). 이러한 연락 방법을 통해 제3자는 남용 보고서를 제출할 필요 없이 프로젝트 유지관리 담당자에게 직접 연락하여 문제를 해결할 수 있습니다.

    GitHub는 npm 레지스트리를 연구용이 아닌 설치와 런타임 코드 사용에 주로 사용되는 플랫폼으로 간주합니다.