点击阅读原文进入 VSRC城市沙龙第二站 议题征集!
Hey~
小姐姐又来分享啦!
大家多多支持哟!
2017.8.4
鸣 谢
VSRC感谢业界小伙伴—— 队长别开枪是我啊,投稿精品原创类文章,VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送,我们为您准备的丰富奖品包括但不仅限于:MacbookAir、VSRC定制雨伞,VSRC定制水杯以及VSRC精美POLO衫!(活动最终解释权归VSRC所有)
事件背景
相信经常使用Github平台来托管程序代码的同学可能都会遇到自己项目被未授权fork走的情况,本人最近就遭遇了这样的情况。
有同事因为某种原因上传了含有大量公司信息的源代码,安全部发现之后虽然删除了自身的repo,但在此之前已经被Github上某个疑似机器人账户fork走了一份。我们试图联系这个账户,果然,这个机器人账户并没有反馈我们消息,考虑再三,我们决定尝试采用以下方法解决这个问题——寻求Github官方的DMCA删帖帮助。
准备工作
首先需要了解Github的“删帖政策”:https://help.github.com/articles/dmca-takedown-policy/
这里提供了Github官方DMCA Takedown的解释和其作用——DMCA,即Digital Millennium Copyright Act(数字千年版权法案),它为互联网服务提供商的内容生成用户提供了一种版权保护机制,DMCA Takedown使其用户可以使用DMCA“删除通知”来向Github官方寻求必要的帮助,例如要求删除被他人非授权获取的原创作品。
上述地址还提到了遭遇错误删除的恢复政策,即DMCA“反通知”,由于不是本篇的重点,这里就不展开描述了。下面进入正题。
了解了官方政策背景,下一步就要执行具体操作,时间不等人啊……
处理过程
了解DCMA Takedown Notice规则
寻求Github有关DCMA Takedown的官方支持需要严格遵循其规则并且耐心等待,毕竟是免费平台,而且人家的运营人员一般也不加班。
相关指南在此https://help.github.com/articles/guide-to-submitting-a-dmca-takedown-notice/
根据指南末端的提示,提交官方支持删除请求的方式有三种
1、直接在页面提交帮助请求https://github.com/contact;
2、通过向support@github.com及copyright@github.com(若涉及版权纠纷)发送e-mail;
3、通过向图中地址寄送信件。
考虑到是以公司身份向Github寻求支持,而第3种寄信的方式过于原始和缓慢,因此选择e-mail即方式。
在撰写邮件正文之前,我们必须仔细阅读DMCA Takedown Notice Guide中的Before You Start章节,严谨和真实的版权要求以及规范的邮件书写是应具备的好习惯,同时也有助于快速解决问题。
撰写邮件
了解以上事项之后,就可以按照指南中Your Complaint Must…章节的顺序撰写DMCA Takedown Notice邮件,以下仅为参考示例,谢绝转存:
严格遵循Github DMCA移除指南要求的顺序撰写申请是很有必要的,但措辞上,大家可根据具体情况适当调整,表述尽量简洁清晰。
英文书写不是很熟练的朋友,这里推荐强大的谷歌翻译https://translate.google.cn/
这里需要注意的是,如果采用手写签名的方式提交申请,还需要把邮件正文打印出来签字后,扫描成pdf作为附件一起发送。
然后,就可以坐等官方的回复邮件了。
得到答复
三个工作日后得到回复,被fork的项目已经移除啦,如下图所示:
在此之后,可以通过访问相应地址确认希望删除的项目是否还存在,同时,Github官方也会在https://github.com/github/dmca同步更新所有DMCA的处理记录。
在这里必须要感谢Github和其开发、运营者为广大用户提供了开放、便捷和规范的代码托管平台,以及公正有效的服务支持。
最后补充两点注意事项
企业邮箱的黑名单机制可能会屏蔽陌生公司邮件,或将其置入垃圾箱,建议在发送邮件之后将support@github.com及copyright@github.com加入白名单;
邮件正文中可能会多次出现企业或个人的身份信息,如果不希望在DMCA汇总记录中展现,可在邮件中特别告知,否则Github官方只会对他们认为属于隐私的信息作[private]处理。
尾声
笔者也是初次尝试以此法维护公司的代码安全,尤其对于一些难以联系的离职员工或机器人账户,寻求官方帮助不失为一种好的思路和方法,希望对大家有所帮助。由于个人能力也是有限,行文之中若有不妥之处,敬请指正。
作为一名企业信息安全从业者,其实我们更希望看到的是,通过不断的信息安全意识培训和安全技术输出,使安全文化融入到企业文化,使安全意识融入到每一位开发、管理和业务人员的日常工作中,能够未雨绸缪,何必亡羊补牢。
。
。
精彩原创文章投稿有惊喜!
VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送,我们为您准备的丰富奖品包括但不仅限于:MacbookAir、VSRC定制雨伞,VSRC定制水杯以及VSRC精美POLO衫!(活动最终解释权归VSRC所有)
不知道,大家都喜欢阅读哪些类型的信息安全文章?
不知道,大家都希望我们更新关于哪些主题的干货?
现在起,只要您有任何想法或建议,欢迎直接回复本公众号留言!
精彩留言互动的热心用户,将有机会获得VSRC赠送的精美奖品一份!
同时,我们也会根据大家反馈的建议,选取热门话题,进行原创发布!
点击阅读原文进入 VSRC城市沙龙第二站 议题征集!